beef+metasploit钓鱼.docx

《beef+metasploit钓鱼.docx》由会员分享，可在线阅读，更多相关《beef+metasploit钓鱼.docx（3页珍藏版）》请在三一办公上搜索。

1、beef+metasploit钓鱼beef+metasploit钓鱼 1.在kali上新建终端 2.关联beef和metasploit，进入beef-xss目录修改config-yaml 3.把metasploit模块中的enable选项的false改写成true 4.进入/usr/share/beef-xss/extensions/metasploit/目录修改config.yaml5.编辑config.yaml文件，把host参数跟callback_host参数改成kali主机192.168.1.2 6.将custom path的路径修改为”/usr/share/metasploit-fr

2、amework/ 7.输入命令“/etc/init.d/postgresql start”,启动postgresql服务。输入命令“msfdb init”,初始化数据库。 8.在终端中输入“msfconsole”启动metasploit模块,输入命令”load msgrpc ServerHost=192.168.1.2 Pass=abc123”。 9.新打开一个终端，输入命令“cd /usr/share/beef-xss/” ,切换到beef-xss目录,输入命令“./beef -x”加载模块。10.在浏览器中输入http:/192.168.1.2:3000/ui/panel,访问beef11

3、.在web服务器上访问“http:/192.168.1.2:3000/demos/butcher/index.html”时，攻击机提示目标主机上线12.当客户端访问http:/192.168.1.2:3000/demos/butcher/index.html网页时，beef会自动连接客户端13.单击 commands标签，显示出集成的插件。 14.在终端下输入命令“cd /var/www/html”.进入apache2默认网站目录，输入命令“vi xss.html”,输入图中代码，建立自定义xss.html网页。 15.在终端中输入命令”vi /etc/apache2/ports.conf”，

4、修改apache2的默认端口号。 改为Listen 8080 重启apache命令为 service apache2 restart 16.在192.168.1.2本地访问“http:/192.168.1.2:8080/xss.html”访问自定义网页测试正常。 17.在beef页面，单击 commands标签，选择“Browser”-”Hooked Domain”-“Redirect Browser”,在最右侧的“RedirectURL”栏输入http:/192.168.1.2:8080/xss.html，单击“Execute”按钮，目标主机浏览器自动访问这个网页 目标机 18.单击 commands标签，选择“Social Engineering”-”Pretty Theft”,在最右侧的选择相应的弹出对话框模版，这里选择facebook模版，用于窃取帐号密码，单击“Execute”按钮,执行攻击。19.目标主机弹出facebook的登陆对话框，然正常人误认为帐号密码过期，需要重新输入。达到钓鱼欺骗的目的 20.在beef的“Module Results History”标签页中，单击历史记录，发现窃取到的帐号和密码。