beef-xss跨站脚本攻击，小白打开一个网站就可能被黑客控制

一、课程声明

本课仅做学习交流，请勿用于任何不法用途！

二、背景介绍

BeEF-XSS是一款非常强大的web框架攻击平台，集成了许多payload，可以实现许多功能！那么如何利用该利器进行渗透测试呢？接下来让我们一起学习！

三、战略安排

3.1 启动攻击者Kali Linux主机的apache服务，如下图所示。

命令：services apache2 start

3.2 在攻击者Kali 主机安装beef-xss渗透框架，如下图所示。

命令：apt install beef-xss

3.3 如下图所示，beef-xss渗透框架安装完成。

3.4 熟悉跟beef-xss渗透框架相关的命令，如下图所示。

命令：beef Tab Tab

3.5 运行beef-xss渗透框架，如下图所示。

命令：beef-xss

3.6 beef-xss渗透框架启动成功，如下图所示。

3.7 beef-xss渗透框架主页面介绍，如下图所示。

Ofline Browers:不在线的浏览器（以前攻击过的浏览器）。

Online Browers：在线的浏览器。

3.8 在beef-xss主页分别点击不同的“here”进入不同的页面，如下图所示。

3.8.1 第一个“here”进入的页面，如下图所示。

3.8.2 第二个“here”进入的页面，如下图所示。

3.9 查看攻击者主机的ip地址，如下图所示。

命令：ifconfig

3.10 将页面的地址更改为攻击者主机的IP然后复制URL，如下图所示。

3.11 在受害者主机浏览器输入刚在复制的URL，如下图所示。

3.12 如下图所示，受害者主机浏览器被攻击成功。

3.13 beef-xss框架的具体命令介绍，如下图所示。