19 ago 2011

Pentest con BeEF: explotando XSS (II de V)

Buenas a todos, hoy continuaremos la cadena de artículos sobre BeEF, mostrando como configurar la herramienta para realizar ataques posteriormente.

La demo la haremos sobre Blackbuntu, una distribución Linux basada en Ubuntu, que viene preparada para la realización de auditorías de seguridad.

En primer lugar arrancaremos el servidor de BeEF:

Nos aparecerá una shell donde se irá mostrando el proceso de carga del entorno. Al finalizar nos indicará la URL desde la que podremos acceder a BeEF con un navegador Web:

Nada más entrar a BeEF configuraremos la dirección a la que se conectarán las victimas. Para pruebas locales lo dejaremos como está.

Y arrancará el panel de control de la aplicación:

Para probar que BeEF está funcionando correctamente nos autoinfectaremos a modo de prueba. Para ello pulsaremos sobre la opción "Spawn Zombie Example":

Nos aparecerá la siguiente página de prueba:

Si volvemos al panel de control, veremos como nos hemos convertido en nuestros propios zombies:

Ahora nos lanzaremos un ataque para comprobar que todo ha ido correctamente, por ejemplo, mostraremos un alert con un mensaje:

Introducimos el texto del Alert y enviamos:

Si todo ha ido bien, volviendo a la página de prueba veremos como se ha ejecutado un script con un alert mostrando el mensaje que indicamos anteriormente:

Esto es todo por hoy, el próximo día seguiremos haciendo más pruebas con BeEF.

Saludos!

 


 

Pentest con BeEF: explotando XSS (I de V)

Pentest con BeEF: explotando XSS (II de V)

Pentest con BeEF: explotando XSS (III de V)

Pentest con BeEF: explotando XSS (IV de V)

Pentest con BeEF: explotando XSS (V de V)

1 comentario: