Buenas compañeros,
Con esta entrada quería presentaros, aunque imagino que algunos ya lo conoceréis, la herramienta BeEF. Desde mi punto de vista es un pasada de herramienta muy útil y recomendable.
BeEF es una herramienta para automatizar ataques XSS contra aplicaciones web vulnerables del lado del cliente. BeEF contiene un gran arsenal de payloads y ataques contra el objetivo para conseguir información útil como el sistema operativo, cookies, IP, navegador,…
BeEF ya se encuentra integrada en Kali Linux, por lo que prácticamente nos basaremos en su arranque y ya la tendremos lista para jugar.
Para ello, accediendo a la ruta /usr/share/beef-xss.
Una vez ahí se ejecuta el fichero beEF: ./beef
También se puede ejecutar clicando en el icono del herramienta en la barra que han añadido en Kali Linux 2.0
Como se observa en la captura anterior, se puede acceder vía web en la url indicada:
En el zoombie, se vería la siguiente ventana:
Como habéis podido ver BeEF es una herramienta muy poderosa para automatizar ataques XSS secuestrando el navegador de la víctima. Ahora bien, estos ataques sólo funcionan mientras la víctima se encuentre en la página trampa de BeEF si no, no tiene efecto. Una vez que cierre el navegador se acabo, BeEF no tiene persistencia en la víctima. Sin embargo, mientras éste ahí se pueden explotar muchas cosas.
Además, BeEF se puede integrar con Metasploit para trabajar conjuntamente. Adicionalmente, hay otra herramienta llamada Subterfuge que posibilita realizar ataques Man in the Middle y también es integrable con BeeF.
Os puedo adelantar que se harán tutoriales y PoC’s de estas integraciones pero más adelante =D
Un comentario en «Automatizando vulnerabilidades XSS con BeEF»
no entiendo que ip se le pone en la parte de XSS porque no me funcionó si le dejo 127.0.0.1
Los comentarios están cerrados.