sábado, 25 de enero de 2014

Introduccion a Beef Framework

Beef es una potente herramienta que nos permitira mediante interfaz web realizar ataques script mediante zombies como pasarela al sitio a atacar.

Vamos a iniciarla para ir viendo sus opciones, para ello vamos a Kali > Servicios del sistema >BeEF > BeEf start.

Y ahora la abriremos en Herramientas de explotacion > Plataforma Xss beef > Beef, y llegaremos al login web. Las credenciales por defecto son beef-beef.




Y entraremos al inicio. 

Lo primero que haremos sera darle al primer here, esto nos servira para capturarnos a nosotros mismos. y si introducimos esto en el navegador de otra persona también lo capturara.

Victima introduciendo la dirección solicitada.


Y en nuestro panel de administración ya tendremos a nuestros zombie. Consiguiendo sus características básicas en la pestaña details.


Si nos movemos por estas pestañas, una de las que mas usaremos sera Commands, que usaremos para ejecutar nuestras acciones sobre el zombie.


Colores:
Verde- El comando trabaja con el objetivo y deberia ser invisible para el usuario.
Naranja- El comando trabajo con el objetivo pero puede ser visible por el usuario.
Gris- El comando aun no se ha verificado que funcione contra el objetivo.
Rojo- El comando no funciona contra este objetivo.

Podemos probar con Get Cookie y ver el resultado. Simplemente presionamos "execute" y nos mostrara el resultado. Por si tuviera alguna cookie que pudiera resultar útil, en este caso muestra la de nuestra web comprometida.



Una interesante es la redirección, que nos enlazara los enlaces que se muestren por nuestra pagina a la que deseemos que sea redirigido.

Como veis los enlaces han sido editados automaticamente por www.mznlabsec.blogspot.com y justo al clickar en alguno de ellos nos redirige al blog.

Esto es ir probando opciones y jugando con ellas, muchas de estas no tendrán éxito o tardan bastante en obtener resultados, pero vale la pena invertir unas horas para emitir tu propio juicio sobre la herramienta, pero su principal fuerte sera utilizarla con Metasploit para poder jugar con la parte de payloads.


Saludos!

No hay comentarios:

Publicar un comentario