#BeEF Installer & Configure & Used Ngrok DNS
اسکریپتی برای راحتی دوستان نوشتم که به یک کلیک بصورت اتوماتیک DNS سرویس Ngrok رو براتون نصب میکنه Enivorment میکنه و دامنه ای از اون فعال کرده و فریمورک BeEF رو بر روی اون دامنه تنظیم کرده همچنین ارتباط BeEF رو از طریقه Proxy تنظیم کرده و Exten OBF پایلودش رو هم فعال کرده و Module های Metasploit رو هم اتصال میده به برنامه BeEF به زبان ساده بخوام بگم استارت کنید و بر روی هر وبسایتی که آسیب پذیری XSS داره پایلود رو تزریق از گرفتن Access Browser لذت ببرید درضمن با این روش نیازی به فروارد پورتی هم نیست...
Automation Running
Enable Obfuscation
Enable HttpProxy
Enable SSL Protocol
Enable Evasion
Enable Metasploit Modules
Set and Configure Ngrok DNS
Open terminal
root@unk9vvn:~#
اسکریپتی برای راحتی دوستان نوشتم که به یک کلیک بصورت اتوماتیک DNS سرویس Ngrok رو براتون نصب میکنه Enivorment میکنه و دامنه ای از اون فعال کرده و فریمورک BeEF رو بر روی اون دامنه تنظیم کرده همچنین ارتباط BeEF رو از طریقه Proxy تنظیم کرده و Exten OBF پایلودش رو هم فعال کرده و Module های Metasploit رو هم اتصال میده به برنامه BeEF به زبان ساده بخوام بگم استارت کنید و بر روی هر وبسایتی که آسیب پذیری XSS داره پایلود رو تزریق از گرفتن Access Browser لذت ببرید درضمن با این روش نیازی به فروارد پورتی هم نیست...
Automation Running
Enable Obfuscation
Enable HttpProxy
Enable SSL Protocol
Enable Evasion
Enable Metasploit Modules
Set and Configure Ngrok DNS
Open terminal
root@unk9vvn:~#
wget https://gist.githubusercontent.com/a9v8i/3f82d7e345da63db3ca09978cf9bbfed/raw/77a3bcd652bc85c76a9517ca6f490ac7490ee03d/beefer.sh;chmod +x beefer.sh;./beefer.sh
@Unk9vvN#BeEF #Bypassing #CSP & #SOP
اسکریپتی در برگه تقلب آنون قرار گرفت که میتواند Header های امنیتی Same Origin Policy و Content Security Policy را در شرایط مورد نیاز دور زده و Agent مربوط به BeEF رو بصورت کاملا مبهم سازی شده بار گزاری کند.
این اسکریپت امکان گرفتن دسترسی کامل مرورگر قربانیان رو در صورت وجود یک آسیب پذیری XSS خواهد داد و حتی در صورت روشن بودن Header های امنیتی.
اما تکنیک های بکار گرفته شده، اول آماده سازی Metasploit و Auto Exp با نام
مورد دوم استفاده از Ngrok برای Listener کردن Agent مربوط به BeEF که با پیکربندی های انجام شده صورت گرفته و در جریان این پیکربندی ها چهار چوب Metasploit با BeEF هم یکپارچه و آماده میشود و Agent خود BeEF نیز مبهم سازی خواهد شد.
مورد بعد استفاده از نقاط انتهای JSONP در سایت های معروف و ایجاد پیلود بر بستر آنها که در صورت زنده بودن برای سایت آسیب پذیری استفاده و بهره برداری خواهد شد.
@Unk9vvN
اسکریپتی در برگه تقلب آنون قرار گرفت که میتواند Header های امنیتی Same Origin Policy و Content Security Policy را در شرایط مورد نیاز دور زده و Agent مربوط به BeEF رو بصورت کاملا مبهم سازی شده بار گزاری کند.
این اسکریپت امکان گرفتن دسترسی کامل مرورگر قربانیان رو در صورت وجود یک آسیب پذیری XSS خواهد داد و حتی در صورت روشن بودن Header های امنیتی.
اما تکنیک های بکار گرفته شده، اول آماده سازی Metasploit و Auto Exp با نام
browser_autopwn2 که بیش از 5 آسیب پذیری روز صفر مرورگر رو فعال میکنه و اگر قربانیان مرورگر قدیمی داشته باشند مستقیما امکان ایجاد دسترسی از سیستم عامل آنها خواهد بود.مورد دوم استفاده از Ngrok برای Listener کردن Agent مربوط به BeEF که با پیکربندی های انجام شده صورت گرفته و در جریان این پیکربندی ها چهار چوب Metasploit با BeEF هم یکپارچه و آماده میشود و Agent خود BeEF نیز مبهم سازی خواهد شد.
مورد بعد استفاده از نقاط انتهای JSONP در سایت های معروف و ایجاد پیلود بر بستر آنها که در صورت زنده بودن برای سایت آسیب پذیری استفاده و بهره برداری خواهد شد.
@Unk9vvN