应用普遍转移到B/S架构，浏览器成为统一客户端程序

通过注入JS脚本，利用浏览器攻击其他网站

ruby编写

攻击手段

利用网站XSS漏洞实现攻击

诱使客户端访问含有hook的伪造站点

结合中间人攻击注入hook脚本

常见用途

键盘记录器

网络扫描

浏览器信息收集

绑定shell

与metasploit集成

beef的使用

启动beef

在浏览器中输入上面的地址，进入beef登陆页面

这是beef的hook脚本地址

打开浏览器根据自己的ip输入上面的地址

开启beef的服务器端 ，默认用户名密码都是beef

在一个XSS存储漏洞的注入点，输入hook脚本如下

提交，在beef的服务器上就看到一个被hook的主机

浏览器，操作系统等详细信息

键盘记录器，鼠标点击

在被注入hook的页面输入信息时

beef上会收集到

模块