Mengeksploitasi Web Browser dengan BeEF XSS Framework
PERINGANTAN Ini Hanya Untuk Pembelajaran Semata Jangan Di Salah Gunakan pada Tindakan Kejahatan
Mirip dengan Metasploit Framework, BeEF adalah kerangka kerja untuk meluncurkan serangan.Tidak seperti Metasploit, itu khusus untuk meluncurkan serangan terhadap browser web. Dalam beberapa kasus, kita akan dapat menggunakan BeEF bersama dengan Metasploit untuk meluncurkan serangan tertentu, jadi saya pikir ini saatnya bagi kita untuk menjadi terbiasa dengannya.
BeEF dikembangkan oleh sekelompok pengembang yang dipimpin oleh Wade Alcorn. Dibangun pada platform Ruby on Rails yang sudah dikenal, BeEF dikembangkan untuk mengeksplorasi kerentanan di browser dan mengujinya. Secara khusus, BeEF adalah platform yang sangat baik untuk menguji kerentanan browser terhadap skrip lintas situs (XSS) dan serangan injeksi lainnya.
Oke Mari Kita Mulai saja... Langkah Pertama yang di lakukan ialah Menjalan BeFF nya ketik di terminal beef-xss biasanya akan terbuka web browser default yang mengarah ke otentikasi beEF itu sendiri, yap untuk username default dan password default ialah beef dan beef juga bisa dibuka melalui web browser langsung tanpa perlu khawatir, Untuk Mengakses halaman login page http://localhost: 3000/ui/authentication
Tampilan Halaman Getting Started jika kalian ingin menguji di komputer kalian sendiri ingin testing di komputer anda sendiri kalian bisa klik hook me! otomatis kalian tereksploit
Bagaimana Jika Ingin Meluncurkannya ke korban (target)? pergi ke advanced version klik here akan muncul tab baru
Ketika Korban membuka alamat website http://192.168.43.140:3000/demos/butcher/index.html maka otomatis dia tereksploitasi, disitu sudah tertera dengan operasi sistem windows tereksploitasi
Jika kita pergi Ke Tab command disitu banyak perintah yang dapat di jalankan di browser korban, kalian bisa mencobanya satu persatu
Disini kita menggunakan Perintah Webcam kotak dialog Adobe Flash akan muncul di layar pengguna yang bertanya, "Izinkan Kamera web?" Jika mereka mengklik "Izinkan," itu akan mulai mengembalikan gambar dari mesin korban kepada Anda.
Disini Juga kalian bisa menggunakan perintah port scanner, untuk IP or Hostname sendiri ialah masukkan saja IP Address Target contoh ip address dari target saya ialah 192.168.43.170 lalu execute!
Disini Juga kita bisa Mendapatkan Semua cookies pada web browser korban dengan perintah Get All Cookies
Di BeEF pula kita bisa menggunakan teknik Social Engineering :v di bagian perintah Pretty Theft yang berfungsi memunculkan pop up yang meminta si korban untuk memasukan username dan password, jadi kita diisini menggunakan dialog type facebook, Selain facebook pula ada banyak lagi
Maka Otomatis user ID dan Password Facebook korban ter saring, disitu tertera User ID korban ialah testlil dengan password testing
Kita juga bisa menggunakan Perintah google phising yang dimana nantinya web browser korban otomatis muncul tab baru yang meminta untuk login ke akun google , disitu kita langsung saja execute
Ini Di ambil dari Komputer Korban, langsung saja korban login menggunakan Akun Googlenya, just info saya ini mencobanya di Komputer saya sendiri
Ketika Korban login dengan login page yang sudah kita kasih melalui BeEF maka otomatis username dan passwordnya ter saring di data BeEF google phising
Ya itu sekian dari saya, sebenarnya banyak lagi perintah perintah yang dapat digunakan kalian bisa mencobanya satu satu silahkan :v Peringatan ini hanya untuk pembelajaran yang kita dapat dari artikel postingan blog kali ini ialah, Jangan Akses situs situs yang tidak jelas alamat webnya, atau jangan mudah juga terpancing oleh orang lain untuk melakukannya tindakan tersebut, karena ini bisa merugika diri kita sendiri, Ingat jika teman kalian mengirim Link link yang tidak jelas jangan asal klik :v mungkin saja itu teknik, Ya sekian dari selamat beraktivitas...
