• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

Статья Атака с BeeF-Over-Wan

Vertigo

Vertigo

Lex mea est Vulgate Linux
Gold Team
15.02.2017
1 161
3 405
vertigo1.png

Добрый день , Уважаемые Форумчане,Друзья и Гости форума.

Сегодня мы разберём один из самостоятельных атакующих модулей,работающего с BEEF.
Принцип работы основан на подключении сервиса ngrok.

Сама утилита относится к категории Browser Exploitation Framework
Надо отметить,что браузеры всё более становятся защищены от проведения таких атак.
Но метод обладает некой разновидностью и пока имеет право на существование.

Модуль также генерирует файл hook.js по пути /var/www/html/hook.js
Активирует инструмент beef,который слушает ,как известно ,порт 3000

Установка:
Код:
# git clone https://github.com/stormshadow07/BeeF-Over-Wan.git
# cd BeeF-Over-Wan.git/
# python BeeFOverWan.py - запуск на Kali Linux
# python2 BeeFOverWan.py -запуск на Arch Linux
# chmod +x BeeFOverWan.py - при необходимости сделать файл исполняемым.
Смысл состоит в том ,что с ngrok атакующий стартует этот сервис на портах 80 и 3000
Также должен быть запущен apache.

Код:
# ./ngrok http 80
vertigo2.png
Код:
# ./ngrok http 3000
vertigo3.png
Мы получаем ссылки с характерными адресами,перенаправлениями и двумя разными каналами.
Всё это работает в сети категории WAN , т.е глобальной.

И теперь , при запуске инструмента , он потребует последовательного ввода
наших ссылок , только без указания протокола http , иначе , появится ошибка (http/http)

BeeF-Over-Wan сам преобразует и сгенерирует необходимую ссылку.
Её можно будет сократить и отправить тестируемому объекту ,применив СИ.
vertigo4.png
В завершении , ждём подключения и ловим браузеры тестируемых субъектов в Beef со всеми правилами.
Спасибо всем за внимание,тестируем ,отписываемся о результатах и до новых встреч.
 
z3r0c10wn

z3r0c10wn

Grey Team
04.09.2017
139
276
Чуть чуть дополню:

> ngrok.yml

Код:
tunnels:
first-app:
    addr: 80
    proto: http
second-app:
    addr: 3000
    proto: http
ngrok start --all

Так будет значительно удобнее.
 
  • Нравится
Реакции: Tihon49
9sochi

9sochi

Member
13.01.2018
23
4
Подскажите пожалуйста
почему beef настроенный на вдс ссылка вида с белым IP 185.x.x.x:3000/ui/panel не запускается у меня на моей машине. На вдс без проблем работает в браузере. Спасибо
 
  • Нравится
Реакции: Vertigo
Vertigo

Vertigo

Lex mea est Vulgate Linux
Gold Team
15.02.2017
1 161
3 405
почему beef настроенный на вдс ссылка вида с белым IP 185.x.x.x:3000/ui/panel не запускается у меня на моей машине.
Beef надо настраивать в файле config.yaml
Он здесь может быть ограничен подсетью 16, или 24
Должен быть в Вашем случае установлен пакет rvm и ruby ( На последнем написан Beef)
Переходим на страницу /demos/basic.html. ,где подгрузится hook.js
Далее,обычно применяется фишинг.
Если понадобится подключить Metasploit , то extensions/metasploit в этом же файле конфигурации.
Настройки,к слову , можно оставить по-умолчанию в данном случае.
А так ,редактируйте файл config.yaml по-соотношению с Вашими подребностями.
[automerge]1522672073[/automerge]
В дополнение ,рекомендую вот эту статью
 
  • Нравится
Реакции: 9sochi
9sochi

9sochi

Member
13.01.2018
23
4
Спасибо большое! Да beef работает, hook.js подлавливает браузер. Покопаюсь в config.yaml. Наверное там стоит и правда ограничение выхода извне.
 
  • Нравится
Реакции: Vertigo
S

Strannik....

Объяснить кто-нибудь с какой целью это проводится?
 
bycat

bycat

Well-known member
30.01.2018
158
37
STEP 1 : Add these Lines To ngrok.yml [Location .ngrok2/ngrok.yml ]
tunnels:
first-app:
addr: 80
proto: http
second-app:
addr: 3000
proto: http

потом вел вот так
tunnels:tunnels: first-app: addr: 80 proto: http second-app: addr: 3000 proto: http

ШАГ 1: Добавьте эти строки в ngrok.yml [Location .ngrok2 / ngrok.yml]
tunnels: first-app: addr: 80 proto: http second-app: addr: 3000 proto: http

и как правильно водить по вертикали или горизонтали?
В обоих случаях мне выдается вот такая ошибка
# ngrok start - -all

ERROR: Failed to read configuration: Error reading configuration file '/root/.ngrok2/ngrok.yml': YAML parsing error: yaml: line 1: mapping values are not allowed in this context
ERROR:

ОШИБКА: Ошибка чтения конфигурации: Ошибка чтения файла конфигурации '/root/.ngrok2/ngrok.yml': ошибка анализа YAML: yaml: строка 1: значения отображения в этом контексте не допускаются
ОШИБКА:
 
NSNL.dll

NSNL.dll

Active member
03.02.2018
41
6
Объяснить кто-нибудь с какой целью это проводится?
Атакующий ловит браузер тестируемого субъекта и затем может использовать на нём функции Beef. Их там полно, например всяческие эксплойты под разные системы и т.д.
 
bycat

bycat

Well-known member
30.01.2018
158
37
Там наборчик шуток стоит можно над браузером жертвы пошутить =)
 
T

TROOPY

Премиум
16.02.2017
112
96
При запуске Beef-Over-wan выдает это:

Код:
Traceback (most recent call last):
  File "BeeFOverWan.py", line 8, in <module>
    from termcolor import colored
ImportError: No module named termcolor
Как это исправить?
 
D

DarkAres

А видосик не подбросите, а то я ничего путного не найду.
 
Tayrus

Tayrus

Grey Team
13.04.2017
360
731
Клевый инструмент, но у меня он не заработал.
Вот ошибка:


Слова автора: "I said this because when i tried to run ngrok for this script , i got error saying you have to buy premium to open multiple tunnels ". Тут он говорит, что нужно купить премиум чтобы открыть много туннелей.
Я переделал скрипт(и он заработал), а именно: русифицировал, добавил возможность создания туннеля без премиума(через API), исправил пару незначительных ошибок.

Ссылка на скачку:
Код:
https://drive.google.com/file/d/1mmUPSdPOMtuUvbb7sTAkhpK4CfOBSDmO/view?usp=sharing
Инструкция: запускаем ngrok так: ./ngrok http 80(в конфиг ничего не вставляем, просто запускаем). Потом запускаем скрипт, когда вас будут просить ввести ссылку вводим ту ссылку, которая перенаправляет на localhost:80 без протокола и порта! Затем когда нас еще просят ввести ссылку вводим ссылку, которая перенаправляет на localhost:3000 без протокола и порта! На этом все!) Наслаждайтесь)
 
  • Нравится
Реакции: Vertigo и Глюк
mackgomeryberns

mackgomeryberns

Member
04.03.2019
21
2
Клевый инструмент, но у меня он не заработал.
Вот ошибка:


Слова автора: "I said this because when i tried to run ngrok for this script , i got error saying you have to buy premium to open multiple tunnels ". Тут он говорит, что нужно купить премиум чтобы открыть много туннелей.
Я переделал скрипт(и он заработал), а именно: русифицировал, добавил возможность создания туннеля без премиума(через API), исправил пару незначительных ошибок.

Ссылка на скачку:
Код:
https://drive.google.com/file/d/1mmUPSdPOMtuUvbb7sTAkhpK4CfOBSDmO/view?usp=sharing
Инструкция: запускаем ngrok так: ./ngrok http 80(в конфиг ничего не вставляем, просто запускаем). Потом запускаем скрипт, когда вас будут просить ввести ссылку вводим ту ссылку, которая перенаправляет на localhost:80 без протокола и порта! Затем когда нас еще просят ввести ссылку вводим ссылку, которая перенаправляет на localhost:3000 без протокола и порта! На этом все!) Наслаждайтесь)
Я бро сделал по твоему совету, все запустилось и все, ошибка соеденения и ппц( что панель не работает если по ссылке перейти и не ловит никого
 
Последнее редактирование:
NNullday

NNullday

Active member
01.04.2019
29
27
Ngrok не будет работать с 2 потоками сразу в обычной версии (бесплатной)
 
  • Нравится
Реакции: Vertigo
Мы в соцсетях: