Scribd
Cargar
389 vistas10 páginas

Práctica Beef XSS

Este documento describe los pasos para realizar una práctica de ataque XSS usando la herramienta Beef-XSS en Kali Linux. Inicialmente, se actualiza la máquina virtual de Kali y se instala Beef-XSS. Luego, se configura un servidor web en el directorio /var/www/html para alojar páginas de phishing. Finalmente, se ejecutan ataques de phishing de Facebook y Gmail mediante Beef-XSS para robar credenciales de usuarios.

Cargado por

Anthony Cárdenas
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
389 vistas10 páginas

Práctica Beef XSS

Este documento describe los pasos para realizar una práctica de ataque XSS usando la herramienta Beef-XSS en Kali Linux. Inicialmente, se actualiza la máquina virtual de Kali y se instala Beef-XSS. Luego, se configura un servidor web en el directorio /var/www/html para alojar páginas de phishing. Finalmente, se ejecutan ataques de phishing de Facebook y Gmail mediante Beef-XSS para robar credenciales de usuarios.

Cargado por

Anthony Cárdenas
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

Nombre: Anthony Cárdenas C.

Materia: Calidad de Software


Carrera: Desarrollo de Software
Profesor: Ing. David Galarza
Práctica con BEEF-XSS
Beef-XSS es un módulo instalado por defecto en Kali, utilizado para realizar el ataque y
explotación de vulnerabilidades XSS.
En el cuál para realizar esta práctica vamos a utilizar una máquina virtual de Kali Linux en
nuestro virtualizador ya se VMware Workstation o Virtual Box.
Para comenzar con esta practica debemos tener la máquina virtual actualizada con sus
dependencias que se lo realiza con los siguientes comandos.
• sudo apt update (para actualizar las listas de software de los repositorios).
• sudo apt upgrate (para descargar los paquetes que haya disponibles).
Seguido de estos pasos procedemos a ejecutar el beef-xss que se encuentra en el apartado de
herramientas de explotación pues si no se lo encuentra debemos abrir un terminal y ejecutar el
siguiente comando para que comience con la instalación.
• sudo apt install beef-xss
Al momento de abrir el terminal del beef-xss se vera una ventana como está pidiéndonos la
clave de acceso del Kali.
Una vez puesto nos va a decir que modifiquemos la clave para que la contraseña que recien
vayas a ingresar solo sea de acceso para el beef en el navegador.
Al final nos va a salir una URL en la cual debemos aplastar para abrir la parte del navegador.
De la siguiente manera debe salir.

una vez que nosotros aplastemos en el enlace que se encuentra resaltado podremos ver la
siguiente ventana.
En la cual, el username es beef y el password es el que anteriormente ingresamos.
Seguido de esto, debemos abrir un nuevo terminal en el cual vamos a buscar la carpeta que
posee el www para poder realizar la práctica en nuestro caso la capeta es var donde se
encuentra el enlace público.

Como se puede ver claramente ingresamos con el comando cd /var/www.


Seguido el comando ls -l que es para ver que tiene esta carpeta y nos muestra un html.
Entramos al html con el comando cd html.
Vemos que elementos tiene esta carpeta con el comando antes usado que es ls -l y como
podemos darnos cuenta posee un index el cual vamos a utilizar.
Posterior a esto creamos una carpeta con el comando sudo para que asi ya no pida
contraseñas seguido de mkdir y el nombre de la carpeta que desees.
Como podemos darnos cuenta al ingresar el comando de verificar que se enceuntra dentro de
la carpeta var/www/html ya se lo puede ver al archivo creado con anterioridad.
Seguido de ento debemos ingresar a la carpeta creada con el comando cd y el nombre de la
carpeta como se ve en la imagen cd lab01.
Seguido vamos a modificar el index.html con el comando sudo getedit index.html, si te sale en
rojo la palabra getedit es porque debemos instalarlo con el comando sudo.
• sudo apt-get install gedit
y después de ejecutarlo realizar lo anteriormente mencionado y se abrirá una ventana como
esta.
Claramente aquí ya se puede ver la direccion que vamos a proceder a realizar la practica como
sacas esta direccion al momento del terminal ingresas la clave te va lanzar estos codigos.
En el cual la direccion que debes colocar en el html es la resaltada hook modificando la parte
que dice <IP> por la direccion ip que tiene esta máquina virtual que la puedes ver en un
terminal con el comando ifconfig.

Seguido ya podemos dirigirnos al navegador a realizar el ataque en el cual en el navegador de


windows vamos a ingresar lo siguiente http://192.168.200.26/lab01/ que esta la ip de mi
equipo mas un /nombreCarpeta/.
Y se nos abrira una ventana en blanca.
Nosotros en el kali una vez que la persona que abra la URL nos va a mostrar como en este
caso.

Como nos podemos dar cuenta ya hay una persona que se encuentra en la url que es desde
una laptop con un SO Windows entonces nostros nos vamos al apartado de comandos a la
carpeta llamada social engineering.

En donde vamos a escoger la opción de Pretty Theft ya que nosotros vamos a clonar a
facebook en este momento no modificamos nada y le damos al boton de execute.
En donde al momento de realizar esta acción a la persona que abri el enlace se le va a mostrar
una pantalla como esta:

Y esta al momento de ingresar sus credenciales y aplastar log in nos arrojara al beef las
credenciales ingresados como lo podemos ver.
Práctica con Gmail
Para realizar con gmail debemos irnos a la carpeta de social engineering, y escoger la opción
de google phishing.

En donde vamos a realizar el mismo proceso damos click en el boton execute y a la persona
de windows se le mostrará esto.

Y al momento de ingresar sus credenciales nosotros podremos visualizarlas desde la página de


beef.
Como se puede ver en la ventana de comandos resultados ya tenemos las credenciales que
han sido ingresadas.

También podría gustarte