تمتلك BeEF واجهة برمجة تطبيقات قادرة جدًا ، ولكنها مباشرة ، تعمل كمحور ترتكز عليه كفاءتها وتنمو لتصبح تقليدًا لهجوم إلكتروني كامل.
سوف يلقي هذا البرنامج التعليمي القصير نظرة على عدة طرق يمكن من خلالها استخدام هذه الأداة المرنة والمتعددة الاستخدامات في اختبار القلم.
تثبيت إطار عمل BeEF
يلزم وجود نظام تشغيل Linux مثل Kali Linux أو Parrot OS أو BlackArch أو Backbox أو Cyborg OS لتثبيت BeEF على جهازك المحلي.
على الرغم من أن BeEF مثبت مسبقًا في أنظمة تشغيل مختلفة لاختبار القلم ، فمن المحتمل أنه لم يتم تثبيته في حالتك. للتحقق مما إذا كان BeEF مثبتًا أم لا ، ابحث عن BeEF في دليل Kali Linux. للقيام بذلك ، انتقل إلى التطبيقات> Kali Linux> System Services> beef start.
بدلاً من ذلك ، يمكنك إطلاق BeEF من محاكي طرفي جديد عن طريق إدخال الكود التالي:
$قرص مضغوط /usr/شارك/لحم البقر xss$قرص مضغوط./لحم
لتثبيت BeEF على جهاز Kali Linux ، افتح واجهة الأوامر واكتب الأمر التالي:
$سودو تحديث apt-get$سودو تثبيت apt-getلحم البقر xss
يجب الآن تثبيت BeEF ضمن / usr / share / beef-xss.
يمكنك البدء في استخدام BeEF باستخدام العنوان الموضح مسبقًا في هذا القسم.
مرحبا بكم في BeEF
الآن ، يمكنك رؤية BeEF GUI في مجدها الكامل. قم بالوصول إلى خادم BeEF عن طريق تشغيل متصفح الويب الخاص بك والبحث عن المضيف المحلي (127.0.0.1).
يمكنك الوصول إلى BeEF web GUI عن طريق كتابة عنوان URL التالي في متصفح الويب الخاص بك:
http: // localhost: 3000 / ui / المصادقة
بيانات اعتماد المستخدم الافتراضية ، كل من اسم المستخدم وكلمة المرور ، لحم البقر:
$ beef-xss-1$ BeEF Login Web GUI
الآن بعد أن قمت بتسجيل الدخول إلى BeEF web GUI ، انتقل إلى قسم Hooked Browsers. المتصفحات عبر الإنترنت والمتصفحات غير المتصلة. يوضح هذا القسم حالة الضحية مدمن مخدرات.
باستخدام لحم البقر
ستوضح هذه الإرشادات كيفية استخدام BeEF في شبكتك المحلية باستخدام المضيف المحلي.
لإجراء الاتصالات خارج الشبكة ، سنحتاج إلى فتح المنافذ وإعادة توجيهها إلى المستخدمين الذين ينتظرون الاتصال. في هذه المقالة ، سوف نلتزم بشبكتنا المنزلية. سنناقش إعادة توجيه الميناء في المقالات المستقبلية.
ربط متصفح
للوصول إلى جوهر ما يدور حوله BeEF ، أولاً ، ستحتاج إلى فهم ماهية خطاف BeEF. إنه ملف جافا سكريبت ، يُستخدم للالتصاق بمتصفح الهدف لاستغلاله أثناء العمل كقائمة وسيطرة بينه وبين المهاجم. هذا هو المقصود بالخطاف في سياق استخدام BeEF. بمجرد أن يتم ربط متصفح الويب بواسطة BeEF ، يمكنك المتابعة لإدخال المزيد من الحمولات والبدء في مرحلة ما بعد الاستغلال.
للعثور على عنوان IP المحلي الخاص بك ، يمكنك فتح محطة طرفية جديدة وإدخال ما يلي:
$سودو ifconfigاتبع الخطوات أدناه لتنفيذ الهجوم:
- لاستهداف متصفح الويب ، ستحتاج أولاً إلى تحديد صفحة ويب التي يحب الضحية زيارتها في كثير من الأحيان ، وبعد ذلك إرفاق خطاف BeEF إليها.
- قم بتسليم حمولة جافا سكريبت ، ويفضل أن يتم ذلك عن طريق تضمين رابط جافا سكريبت في عنوان صفحة الويب. سوف يصبح المتصفح الهدف مدمن مخدرات بمجرد زيارة هذا الموقع.
إذا كنت قادرًا على اتباع هذه الخطوات دون أي مشاكل ، فيجب أن تكون قادرًا على رؤية عنوان IP المعلق ونظام التشغيل الأساسي في BeEF GUI. يمكنك معرفة المزيد عن النظام المخترق من خلال النقر على المتصفح المعلق المدرج في النافذة.
أيضًا ، هناك العديد من قوالب صفحات الويب العامة التي أتاحوها لاستخدامك.
http: // localhost: 3000 / demos / butcher / index.html
يمكنك جمع جميع أنواع المعلومات من هنا ، مثل المكونات الإضافية والإضافات التي يستخدمها المتصفح ، ومعلومات متنوعة حول مواصفات الأجهزة والبرامج الخاصة بالهدف.
يذهب إطار عمل BeEF إلى أبعد من ذلك لإنشاء سجلات كاملة لحركات الماوس والنقرات المزدوجة والإجراءات الأخرى التي يقوم بها الضحية.
فيما يلي قائمة بالوحدات النمطية المتاحة التي يمكن استخدامها لخرق نظام معين. تتضمن هذه الوحدات برامج تسجيل لوحة المفاتيح وبرامج التجسس ، بما في ذلك تلك التي تستخدم كاميرات الويب والميكروفونات الخاصة بالمستعرض المستهدف.
لاحظ أن بعض الأوامر لها أيقونة ملونة. كل هذه الرموز لها دلالات مختلفة يمكنك اكتشافها من خلال القيام بجولة تمهيدية 'البدء' ، والتي تقدم جوانب مختلفة من واجهة BeEF. لاحظ أيضًا كيف أن لكل وحدة رمز إشارة مرور مرتبطة بها. تُستخدم رموز المرور هذه للإشارة إلى أي مما يلي:
- تعمل وحدة الأوامر ضد الهدف ويجب أن تكون غير مرئية للمستخدم
- تعمل وحدة الأوامر ضد الهدف ولكنها قد تكون مرئية للمستخدم
- لم يتم التحقق من وحدة القيادة ضد هذا الهدف بعد
- لا تعمل وحدة الأوامر ضد هذا الهدف
يمكنك أيضًا إرسال أوامر shell إلى النظام الهدف ، كما هو موضح أدناه:
بالاقتران مع Metasploit ، يمكن استخدام BeEF لأداء استغلال متنوع ومعقد للنظام باستخدام الوحدات النمطية ، مثل browser_auto_pwn.
استنتاج
BeEF هي أداة قوية بشكل لا يصدق يمكنك استخدامها لتحصين الأنظمة ضد الهجمات الإلكترونية. من توفير وحدات برامج التجسس إلى تتبع حركة الماوس على النظام المستهدف ، يمكن لـ BeEF فعل كل شيء. لذلك ، من الجيد اختبار نظامك باستخدام أداة التحاليل الجنائية الأمنية هذه.
نأمل أن تكون قد وجدت هذا البرنامج التعليمي مفيدًا لتبدأ باستخدام هذه الأداة بمثل هذه الوظائف المتنوعة والمفيدة.