Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Upcoming SlideShare
Browser Exploitation Framework Tutorial
Next
Download to read offline and view in fullscreen.

0

Share

Download to read offline

Beef framework 2016

Download to read offline

Beef framework 2016

Related Books

Free with a 30 day trial from Scribd

See all
  • Be the first to like this

Beef framework 2016

  1. 1. Hack Etico
  2. 2.  BeEf (The Browser Exploitation Framework.). Se trata de una herramienta de pruebas de penetración que se centra en un navegador web.  En medio de la creciente preocupación por los ataques procedentes de Internet en contra de los clientes, incluyendo clientes móviles, BeEF permite al Auditor de penetración profesional, pueda evaluar la situación de seguridad actual de un entorno mediante el uso de vectores de ataque del lado del cliente. A diferencia de otros Framewoks de Seguridad, BeEF se ve más allá del perímetro de la red, examina vulnerabilidades a través del navegador web.
  3. 3.  La verdad que suena bien, saltarnos las medidas de seguridad del perímetro de la red, así como la seguridad del cliente en sí, y acceder por medio del navegador al sistema en cuestión. Vemos a continuación un esquema de la arquitectura de funcionamiento de BeEF.
  4. 4.  En nuestro caso ejecutaremos BeEF en Kali.  Primero abrimos una terminal en Kali
  5. 5.  Ejecutaremos en la terminal un payload con BeEF, para inyectar el payload en la maquina de la victima. Usando una actualización del plugin de flash falsa.
  6. 6.  Posteriormente en la ruta que elegimos se construyo el PAYLOAD como se muestra a continuación.
  7. 7.  Como segundo punto arrancaremos el BeEF en una terminal escribimos lo siguiente:
  8. 8.  De la misma manera las otras dos direcciones http://192.168.195.136:3000 muestran lo mismo pero disponibles en este caso para la red, si nos fijamos se distinguen de la misma manera una /ui/panel donde se ejecuta la interfaz de control BeEF, y otra /hook.js donde se halla el gancho con el cual atacaremos al navegador.  Accederemos a la web disponible en red http://127.0.0.1:3000/ui/panel también como se muestra a continuación. (Nota el user por default es beef y el pass el beef).
  9. 9.  En una terminal ejecutamos el Metasploit framework como se muestra a continuación
  10. 10.  Se puede poner en practica lo que vimos de la sesiones anteriores para poder controlar la maquina victima
  11. 11.  Accederemos a la siguiente ubicación y ahí copiaremos nuestro payload y modificaremos el archivo html
  12. 12.  Colocamos lo que se muestra en la imagen
  13. 13.  Abrimos en el navegador el archivo html que modificamos y deberá aparecer lo siguiente
  14. 14.  Ejecutamos y tendremos lo siguiente
  15. 15.  Abrimos la consola del BeEF que tendrá la siguiente dirección
  16. 16.  Como vemos es un script que en este caso hace las llamadas necesarias al sistema mediante los objetos window.location.protocol y window.location.host, el primer objeto window.location.protocol le indica cual es el protocolo que se esta usando en la conexión en este caso http y el segundo objeto window.location.host le proporcionan la dirección ip y el protocolo de la conexión de la url actual de nuestro navegador donde acceder al gancho /hook.js a nuestro navegador, si observamos un poco mas la pagina, el código fuente tiene un par de links mediante href.
  17. 17.  Una vez que ejecutemos el comando aparecerá lo siguiente:
  18. 18.  Si le damos install nos mandara a la misma html que fabricamos con el payload la cual será el siguiente
  19. 19.  Por ejemplo si mandamos la dirección a la victima de la maquina a controlar quedaría de la siguiente forma, recordar que esto funciona de manera correcta en Chrome o mozilla.
  20. 20.  Al ejecutar el ataque aparecerá lo siguiente en la maquina victima

Beef framework 2016

Views

Total views

201

On Slideshare

0

From embeds

0

Number of embeds

44

Actions

Downloads

7

Shares

0

Comments

0

Likes

0

×