Voilà bientôt 2 ans que je traîne un « post-it » dans ma poche sur lequel on trouve le message suivant « Installer et tester BeEF ».
J’ai du re-écrire ce message au moins 3 fois car l’encre finissait par disparaître. Et ce n’est qu’aujourd’hui que je prends enfin le temps de vous faire part de ma petite expérimentation.
J’ai repris ma vieille Ubuntu sur laquelle fonctionne toujours mon filtre
« parental » basé sur « DansGuardian » (voir l’article Protégeons nos chères têtes blondes des
dangers d’internet) et j’ai installé la version 11.10.
Les étapes sont les suivantes.
Je télécharge et installe BeEF en
suivant les conseils du « github » de BeEF (https://github.com/beefproject/beef/wiki/Installation) pour la partie Ubuntu. Pour information, il
est nécessaire d’installer quelques « packages » supplémentaires
absents de mon OS.
Après avoir autorisé les accès à BeEF à partir d’internet, je modifie le fichier de configuration de BeEF avec les informations suivantes pour le rendre accessible:
Puis je lance BeEF avec la commande
« ruby beef »
Je vérifie ensuite l’accès à la console d’administration à partir d’internet
Puis je crée un site « web »
dans lequel j’ajoute un lien vers le script par défaut de BeEF permettant de
corrompre un browser
A partir de ma machine cible j’accède à
mon site web corrompu et je saisis mon login et mon mot de passe
Sur le serveur on voit alors apparaître mon browser corrompu
Et je récupère également le nom d’utilisateur et le mot de passe
Mais avec BeEF il est aussi possible de faire des choses plus drôles comme par exemple permettre la lecture d’un son de révolver sur la machine cible. C’est ce que nous allons faire. Tout d’abord on choisit le fichier « .wav » à jouer sur la cible
Et on exécute l’action. Comme toujours côté « serveur » on retrouve un trace de nos actions
Et le coup de feu explose sur le poste de notre cible.
Aucun commentaire:
Enregistrer un commentaire