• Codeby web-security - Курс "Тестирование Веб-Приложений на проникновение с нуля" от команды codeby. Общая теория, подготовка рабочего окружения, пассивный фазинг и фингерпринт, Активный фаззинг, Уязвимости, Пост-эксплуатация, Инструментальные средства, Social Engeneering и многое другое. Подробнее ...

  • Мобильный клиент нашего форума для Android гаджетов доступен в Google Play Market по этой ссылке. Клиент можно скачать с нашего форума по этой ссылке. Последняя версия МК в нашем телеграм канале вот здесь

Статья Атака с BeeF-Over-Wan

Vertigo

Lex mea est Vulgate Linux
Red Team
15.02.2017
787
2 062
#1
vertigo1.png

Добрый день , Уважаемые Форумчане,Друзья и Гости форума.

Сегодня мы разберём один из самостоятельных атакующих модулей,работающего с BEEF.
Принцип работы основан на подключении сервиса ngrok.

Сама утилита относится к категории Browser Exploitation Framework
Надо отметить,что браузеры всё более становятся защищены от проведения таких атак.
Но метод обладает некой разновидностью и пока имеет право на существование.

Модуль также генерирует файл hook.js по пути /var/www/html/hook.js
Активирует инструмент beef,который слушает ,как известно ,порт 3000

Установка:
Код:
# git clone https://github.com/stormshadow07/BeeF-Over-Wan.git
# cd BeeF-Over-Wan.git/
# python BeeFOverWan.py - запуск на Kali Linux
# python2 BeeFOverWan.py -запуск на Arch Linux
# chmod +x BeeFOverWan.py - при необходимости сделать файл исполняемым.
Смысл состоит в том ,что с ngrok атакующий стартует этот сервис на портах 80 и 3000
Также должен быть запущен apache.

Код:
# ./ngrok http 80
vertigo2.png
Код:
# ./ngrok http 3000
vertigo3.png
Мы получаем ссылки с характерными адресами,перенаправлениями и двумя разными каналами.
Всё это работает в сети категории WAN , т.е глобальной.

И теперь , при запуске инструмента , он потребует последовательного ввода
наших ссылок , только без указания протокола http , иначе , появится ошибка (http/http)

BeeF-Over-Wan сам преобразует и сгенерирует необходимую ссылку.
Её можно будет сократить и отправить тестируемому объекту ,применив СИ.
vertigo4.png
В завершении , ждём подключения и ловим браузеры тестируемых субъектов в Beef со всеми правилами.
Спасибо всем за внимание,тестируем ,отписываемся о результатах и до новых встреч.
 

z3r0c10wn

Well-known member
04.09.2017
105
204
#2
Чуть чуть дополню:

> ngrok.yml

Код:
tunnels:
first-app:
    addr: 80
    proto: http
second-app:
    addr: 3000
    proto: http
ngrok start --all

Так будет значительно удобнее.
 
Симпатии: Понравилось Tihon49
13.01.2018
20
2
#3
Подскажите пожалуйста
почему beef настроенный на вдс ссылка вида с белым IP 185.x.x.x:3000/ui/panel не запускается у меня на моей машине. На вдс без проблем работает в браузере. Спасибо
 
Симпатии: Понравилось Vertigo

Vertigo

Lex mea est Vulgate Linux
Red Team
15.02.2017
787
2 062
#4
почему beef настроенный на вдс ссылка вида с белым IP 185.x.x.x:3000/ui/panel не запускается у меня на моей машине.
Beef надо настраивать в файле config.yaml
Он здесь может быть ограничен подсетью 16, или 24
Должен быть в Вашем случае установлен пакет rvm и ruby ( На последнем написан Beef)
Переходим на страницу /demos/basic.html. ,где подгрузится hook.js
Далее,обычно применяется фишинг.
Если понадобится подключить Metasploit , то extensions/metasploit в этом же файле конфигурации.
Настройки,к слову , можно оставить по-умолчанию в данном случае.
А так ,редактируйте файл config.yaml по-соотношению с Вашими подребностями.
[automerge]1522672073[/automerge]
В дополнение ,рекомендую вот эту статью
 
Симпатии: Понравилось 9sochi
13.01.2018
20
2
#5
Спасибо большое! Да beef работает, hook.js подлавливает браузер. Покопаюсь в config.yaml. Наверное там стоит и правда ограничение выхода извне.
 
Симпатии: Понравилось Vertigo

bycat

Well-known member
30.01.2018
122
14
#7
STEP 1 : Add these Lines To ngrok.yml [Location .ngrok2/ngrok.yml ]
tunnels:
first-app:
addr: 80
proto: http
second-app:
addr: 3000
proto: http

потом вел вот так
tunnels:tunnels: first-app: addr: 80 proto: http second-app: addr: 3000 proto: http

ШАГ 1: Добавьте эти строки в ngrok.yml [Location .ngrok2 / ngrok.yml]
tunnels: first-app: addr: 80 proto: http second-app: addr: 3000 proto: http

и как правильно водить по вертикали или горизонтали?
В обоих случаях мне выдается вот такая ошибка
# ngrok start - -all

ERROR: Failed to read configuration: Error reading configuration file '/root/.ngrok2/ngrok.yml': YAML parsing error: yaml: line 1: mapping values are not allowed in this context
ERROR:

ОШИБКА: Ошибка чтения конфигурации: Ошибка чтения файла конфигурации '/root/.ngrok2/ngrok.yml': ошибка анализа YAML: yaml: строка 1: значения отображения в этом контексте не допускаются
ОШИБКА:
 

Citizen0

Well-known member
07.02.2017
159
179
#8
Симпатии: Понравилось bycat

NSNL.dll

Active member
03.02.2018
41
6
#9
Объяснить кто-нибудь с какой целью это проводится?
Атакующий ловит браузер тестируемого субъекта и затем может использовать на нём функции Beef. Их там полно, например всяческие эксплойты под разные системы и т.д.
 

bycat

Well-known member
30.01.2018
122
14
#10
Там наборчик шуток стоит можно над браузером жертвы пошутить =)
 

TROOPY

Премиум
16.02.2017
103
87
#12
При запуске Beef-Over-wan выдает это:

Код:
Traceback (most recent call last):
  File "BeeFOverWan.py", line 8, in <module>
    from termcolor import colored
ImportError: No module named termcolor
Как это исправить?
 
Вверх Снизу