前语
上一章介绍了Tunneling Proxy技能以及怎样运用这项技能来绕过httponly完成高档的会话盗取。本章评论如安在不违背SOP情况下，经过勾连浏览器进犯Web运用与进犯 *** 。其中有一些进犯技能就用到了Tunneling Proxy的技能。
本系列文章前序内容：
1.浏览器进犯结构BeEF Part 1
2.浏览器进犯结构BeEF Part 2：初始化操控
3.浏览器进犯结构BeEF Part 3：继续操控
4.浏览器进犯结构BeEF Part 4：绕过同源战略与浏览器署理
进犯 ***
进犯Web运用有一些技能需求运用到进犯 *** 的技能，所以就先介绍进犯 *** 。这儿的进犯 *** 一般是指进犯内网。幻想一下这样的场景：当一个公司内部 *** 的浏览器被BeEF勾住了，那么可不能够运用它来进犯这个内部 *** 呢？比方主机扫描，端口扫描。答案是能够的。进犯 *** 的模块在Network和Host目录。
进犯 *** 一般有这几步：
1. 辨认方针
2. ping sweep
3. 扫描端口
辨认方针
辨认方针分为两个，一个是辨认勾连浏览器的内部IP，另一个是辨认勾连浏览器的子网。
BeEF给出了两个进犯模块来辨认勾连浏览器的内部IP：Get Internal IP(Java) 与 Get Internal IP WebRTC。两个模块都在Host目录。 一个是运用Java技能， 一个是运用了WebRTC技能。现在现已很少有人会在浏览器中运用Java了。 运用WebRTC会更好些：

辨认勾连浏览器的子网只要一个模块：identity LAN Subnets。 这个模块的原理是经过向一些常见的子网段的主机发送XMLHttpRequest恳求，然后看看呼应的时刻，假如主机是活动的，那么呼应时刻会很短。

这个模块所扫描的子网段是设置好的，能够在 beef主目录/modules/network/identify_lan_subnets/command.js文件中添加。
ping sweep
知道内网ip 或 方针子网段后，下一步便是检查一下子网中有那些主机是活动的。BeEF为此供给了Ping Sweep 模块,它的原理和identify_lan_subnets相同。

下面是笔者的扫描成果：

扫描端口
知道活动主机今后，那么接下来便是进行端口扫描。BeEF供给了 Port Sanner 模块来达到这一意图，其原理是运用IMG标签和自定义的onload/onerrer事情处理程序， 以及计时器。可是现代的浏览器都完成了端口封禁，端口封禁约束了浏览器对某些端口发送http恳求，比方 21, 22, 25, 110, 145 等端口， 所以一般无法扫描出这些端口。

下面是扫描成果

进犯Web运用
幻想一下两个的情形。
之一个，一家公司的内网用户运用浏览器访问了某个有勾子的外网网站页面（或许是xss等缝隙导致），BeEF在获得了浏览器的操控权后，能不能进一步进犯这家公司的一些内网的Web呢？
第二个场景，某个网站的“给网站提出定见”或许“广告招租”等功用有存储型XSS缝隙，且提交上去的数据只要后台人员才干看到，该站点的一切Cookie都会设置HttpOnly，可是后台的某个功用存在着SQL缝隙，那么能否运用SQLmap经过BeEF来进行SQL注入来获取数据或许更进一步直接获取Webshell呢？
上面的两个问题，答案都是能够做到的。从上面的两个场景，能够看出要运用BeEF进犯Web运用首要分为两个种类型。之一种是进犯不同源的Web，对应着之一个场景。第二种是进犯同源的Web，对应着场景二。下面分开来评论。
进犯不同源Web运用
先来说说进犯不同源Web的原理。从上一章，读者应该能了解到，BeEF能够让被勾住的浏览器向任何域发送HTTP恳求。只是在发送跨域时，大都情况下SOP都会阻挠浏览器读取HTTP呼应。尽管不能读取HTTP呼应,但有些进犯是不需求读取的，典型的不需求读取HTTP呼应的进犯技能便是CSRF了。
要进犯不同源的Web运用，首要要对它进行足够的侦办。能够使用上面进犯 *** 的技能来检测一下勾连浏览器的内网有那些Web服务器。当咱们知道那个内网主机上是Web服务器，接下来咱们要对它进行指纹收集。前几章有说到js，css，图片的静态文件一般不会受SOP约束。而这正是指纹收集的要害，咱们能够经过一些已知的静态资源来推测出方针。比方向一个内网的主机恳求一个 /icon/apache_pb.gif图片，假如这个主机返回了图片数据，那么这个主机有或许运转着apache。

[1] [2]  黑客接单网