BlogMitM

Cómo: conectar navegadores web con MITMf y BeEF

¿Recuerdas la última vez que usamos BeEF? Bueno, ahora podemos usarlo nuevamente, ¡pero esta vez con MITMf! ¡Vamos a autoinyectar el script de enganche en cada página web que visite la víctima!

Requisitos

Si aún no lo tiene, instale MITMf a través de apt-get install mitmf. Tu podrías querer apt-get update primero. Si lo desea, puede clonarlo desde el repositorio de Git (clon de git https://github.com/byt3bl33d3r/MITMf), pero he tenido problemas con esa versión.

BeEF ya debería estar instalado en Kali / Back | Track.

Paso 1: Inicie BeEF

Abra una nueva terminal y escriba cd / usr / share / beef-xss /.

Como puede ver, tenemos BeEF instalado y podemos continuar y ejecutarlo escribiendo ./carne de vaca. Debería obtener este resultado:

Ves el URL del gancho? Eso es importante. Recuerde o copie la URL proporcionada.

Paso 2: abre el panel

Ahora puede abrir el panel web de BeEF con el URL de la interfaz de usuario. Una vez que se le presente la página de inicio de sesión, debería poder ingresar con las credenciales predeterminadas “carne” para el nombre de usuario y la contraseña. Una vez dentro de la interfaz de usuario, debería tener esta pantalla:

Paso 3: inyecte el script Hook.js

Abre una nueva terminal. Usaremos MITMf para inyectar el script de enganche. Usar mitmf –spoof –arp -i –gateway –target –inject –js-url como el formato.

  • –parodia carga el parodia enchufar
  • –arpa redirige los paquetes ARP
  • -I especifica la interfaz para inyectar paquetes en
  • –puerta establece la IP de su enrutador para redirigir a través de
  • –objetivo establece la IP de destino para inyectar el script hook.js
  • –inyectar carga el inyectar función
  • –js-url especifica el código JavaScript para inyectar

Por ejemplo, uso este comando:

Ejecute el comando y MITMf debería comenzar a darle algunos resultados.

MITMf nos dice que ha inyectado con éxito el script hook.js en los sitios web que visitó el objetivo.

Paso 4: Volver a BeEF

Si revisamos nuestro panel BeEF, verá la computadora enganchada justo en el Navegadores en línea pestaña.

Recuerda en mis publicaciones anteriores de XSS donde dije que la víctima deber permanecer en la página web para que pueda controlarla? ¿Adivina qué? ¡No tienes que preocuparte por eso ahora! MITMf continuará inyectando el script en cada sitio web que visita la víctima, por lo que nunca perderá el control.

Conclusión

Ahora sabemos qué poder hay dentro de MITMf … podemos hacer mucho más. A partir de ahí, puede seguir intentando explotar la máquina víctima y tal vez obtener un mensaje de Meterpreter. Ah, la alegría de los ataques MitM …

NOTA: Esto solo funciona con sitios web que no son HSTS. Podrías probar el –hsts funciona, pero puede hacer que las cosas sean demasiado lentas y / o con fallas.

C | H de C3

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar