|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
E |
|
|
|
|||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
BeEF 247 BUY |
|
|
|||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
w Click |
to |
|
|
|
|
|
|
|
|
|
|
|
to |
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
m |
w Click |
|
|
|
|
|
|
|
m |
|||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
|
|
e |
|
|
|
|
|
|
|
|
|
e |
|
||||
|
|
|
|
|
[18:07:19][*] RESTful API key: cefce9633f9436202c1705908d508d31c7072374 |
|
|
n |
|
|
|
|
|||||||||||
|
|
|
|
|
n |
|
|
|
|
|
|
|
df |
|
|
|
|
|
|
||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
[18:07:19][*] HTTP Proxy: http://127.0.0.1:6789
[18:07:19][*] [ARE] Ruleset (Perform Man-In-The-Browser) parsed and stored successfully.
[18:07:19][*] [ARE] Ruleset (Get Cookie) parsed and stored successfully.
[18:07:19][*] [ARE] Ruleset (Raw JavaScript) parsed and stored successfully.
[18:07:19][*] BeEF server started (press control+c to stop)
У всех новых перехваченных жертв будут получены куки-файлы, запущен пользовательский кейлоггер и включено закрепление в системе с помощью атаки MITB.
Рис.9.18. Исходный код BeEF на GitHub
Туннелирование трафика
Вероятно, самая крутая функция в BeEF – это возможность туннелировать трафик через браузер жертвы. BeEF настроит локальный прокси-сервер, который будет пересылать веб-запросы через командно-контрольный сервер и возвращать их жертве.
На стороне клиента пересылка трафика осуществляется с использованием объекта XMLHttpRequest (XHR), и поэтому запросы подчиняются правилу ограничения домена, что существенно ограничивает нас. Звучит не идеально, но это можно применять на практике.
Рассмотрим сценарий, при котором внутренний интерфейс администратора уязвим для XSS-атаки. Мы не можем получить к нему доступ напрямую,
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|||||||||
w Click |
to |
BUY 248 Глава 9.Практические атаки на стороне клиента |
w Click |
to |
|
|
|
|
|
|
|||||||||||||
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
|
|
потому что он находится в отдельном сегменте сети, но мы успешно обману- |
|
|
|
e |
|
|||||||||||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
|
|||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
ли администратора и заставили запустить нашу ловушку. Теперь можем конт ролировать его сеанс в BeEF. У нас нет возможности прочитать содержимое учетной записи администратора Gmail, но благодаря JavaScript мы прекрасно можем просматриватьинтерфейс администратора.Болеетого,мы будем автоматически аутентифицироваться как жертва благодаря браузеру, передающему куки-файлы с каждым запросом.
Туннелирование трафика – простой процесс: мы кликаем правой кнопкой мыши на перехваченном клиенте и выбираем опцию Use as Proxy.
Рис.9.19. Использование жертвы в качестве прокси-сервера
После запуска BeEF также запускается прокси-служба на локальном хосте, которая будетмаршрутизироватьтрафик через браузеры жертвы,если они работают.
root@spider-c2-1:~/beef# ./beef [...]
[18:07:19][*] RESTful API key: cefce9633f9436202c1705908d508d31c7072374 [18:07:19][*] HTTP Proxy: http://127.0.0.1:6789
Можноувидетьвсеэтовдействии,используякомандуcurl иуказавпроксислужбу BeEF по умолчанию (127.0.0.1:6789) с помощью параметра –x.
root@spider-c2-1:~# curl -x 127.0.0.1:6789 http://badguys.local <!DOCTYPE html>
[...]
<title>Shiny, Let's Be Bad Guys: Exploiting and Mitigating the Top 10 Web App Vulnerabilities</title>