Địa chỉ Pwn là http://192.168.0.109:9090/9m8GPTb1oJN4, đây là địa chỉ trong mạng LAN, cần sửa lại thành địa chỉ WAN.
http://minhnq22.ddns.net:9090/9m8GPTb1oJN4
Lắng nghe:
Máy nạn nhân sử dụng trình duyệt Firefox 15, với địa chỉ IP là 104.232.37.235
Sau khi Invisible Iframe được kích hoạt, nó tạo một Iframe ẩn trên chính trang Web có đoạn script BeEF-XSS. Iframe này sẽ thực hiện load dữ liệu từ đường dẫn được thiết lập trước, ở đây là:
http://minhnq22.ddns.net:9090/9m8GPTb1oJN4.
Sau khi đường dẫn Pwn này được load, nó sẽ thực hiện quét một loạt các lỗ hổng bảo mật trên trình duyệt đang chạy theo kiểu vét cạn, và đưa vào đó payload nếu như trình duyệt đó tồn tại lỗ hổng bảo mật có trong cơ sở dữ liệu của nó.
Ở đây, Firefox 15 được xác nhận tồn tại 2 lỗi bảo mật là: firefox_tostring_console_injection và firefox_proto_crmfrequest
Metasploit đã thực hiện tải payload và tạo ra 2 phiên làm việc trái phép
KẾT LUẬN
Với đà phát triển mạnh mẽ của cách mạng cơng nghiệp 4.0 thêm vào đó là sự thúc đẩy chuyển đổi số dưới sức ép của đại dịch Covid khiến cho môi trường web đã phát triển nóng về số lượng tạo nên mơi trường thuận lợi cho các hacker gây ra các cuộc tấn công với tác động nghiêm trọng. Để giảm thiểu rủi ro thì các biện pháp đảm bảo an toàn như kiểm thử hệ thống tự động bằng các công cụ mạnh mẽ và phát hành miễn phí trở thành giải pháp tích cực cho các cơng ty, doanh nghiệp và người quản trị những trang web nhỏ. BeEF là một đại diện nổi bật với nhiều ưu điểm đến từ sức mạnh rà quét cũng như cơ chế vận hành đơn giản và được phân phối hồn tồn miễn phí bên cạnh một cộng đồng đóng góp tích cực. Với bài viết này nhóm nghiên cứu mong muốn sẽ giúp ích cho những cá nhân muốn tìm hiểu, sử dụng BeEF hợp lý và hiệu quả. Qua các lab chúng ta có thể thấy BeEF là cơng cụ giúp phịng hệ hiệu quả nhưng khi ở trong tay các hacker mũ đen thì nó lại ngược lại tức là nó như một con dao hai lưỡi và việc sử dụng vì mục đích gì sẽ do con người hồn tồn quyết định.
DANH MỤC VIDEO THỰC HIỆN DEMO 1. https://drive.google.com/file/d/1lxNxu5uEDISZh7_TJ8Khl04tlXLGx395/view?usp=sh aring 2. https://drive.google.com/file/d/1nz1WKLicxKkO2L4Hzdz3dIy3HLOMuMak/view?us p=sharing 3. https://drive.google.com/file/d/1LcicmS7vkT7IznlrcRq_r8uNj_6tjQE9/view? usp=sharing 4. https://drive.google.com/file/d/1w0xooJsFAQ-Ylq-YLKCIcqc- dNHJk35G/view?usp=sharing
DANH MỤC TÀI LIỆU THAM KHẢO
[1] J. W. a. B. TEAM, "Github," 2021. [Online]. Available:
https://github.com/beefproject/beef/wiki#user-guide. [Accessed 10 12 2021]. [2] noraclair, "Km3's security notes," 27 9 2011. [Online]. Available:
https://antoanthongtin.wordpress.com/2011/09/27/beef-framework-danh-rieng-cho- xss/. [Accessed 12 12 2021].
[3] M. Piper, "Wiki Owasp," 2012. [Online]. Available:
https://wiki.owasp.org/images/e/e0/Owasp2012-MarkPiper.pdf. [Accessed 10 12 2021].
[4] B. Rỗng, "Hướng dẫn sử dụng BeEF Framework," 18 9 2020. [Online]. Available: https://viblo.asia/p/huong-dan-su-dung-beef-framework-eW65G1kjZDO. [Accessed 13 12 2021].
[5] Hackerstudent93, "Tuyệt mật, hack trình duyệt web với BeEF," 30 5 2020. [Online]. Available: https://whitehat.vn/threads/tuyet-mat-hack-trinh-duyet-web-voi-