Fixear

BeEF

BeEF

BeEF (Browser Exploitation Framework) es una herramienta gratuita y de código abierto orientada a la explotación de navegadores web en pruebas de penetración. Permite evaluar la seguridad del lado del cliente enfocándose en vulnerabilidades que afectan a los navegadores y su interacción con aplicaciones web. Es utilizada en auditorías de seguridad para analizar riesgos asociados al entorno del usuario.

¿Qué es BeEF?

BeEF es un framework de explotación que se centra en el navegador como vector de ataque. Permite enganchar (hook) un navegador objetivo dentro de un entorno controlado y ejecutar distintos módulos para evaluar su nivel de exposición frente a vulnerabilidades del lado cliente.

¿Para qué sirve?

Evaluación de seguridad del lado cliente

  • Analizar vulnerabilidades en navegadores web.
  • Evaluar configuraciones inseguras del entorno del usuario.
  • Identificar riesgos asociados a plugins y extensiones.

Pruebas de penetración web

  • Simular ataques basados en ingeniería social.
  • Evaluar el impacto de vulnerabilidades XSS.
  • Analizar la exposición de aplicaciones web desde el navegador.

Control de sesiones enganchadas

  • Gestionar navegadores comprometidos en un entorno autorizado.
  • Ejecutar módulos de prueba sobre el cliente.
  • Obtener información del entorno del navegador.

¿Cómo funciona?

Hook del navegador

BeEF utiliza un script JavaScript que, al ser cargado en el navegador objetivo dentro de un entorno controlado, establece comunicación con el servidor BeEF.

Panel de control web

Proporciona una interfaz gráfica accesible desde el navegador para administrar sesiones enganchadas y ejecutar módulos disponibles.

Módulos de explotación

Incluye módulos organizados por categorías que permiten realizar diferentes pruebas sobre el navegador conectado.

Comunicación cliente-servidor

El navegador enganchado se comunica con el servidor BeEF mediante solicitudes HTTP/HTTPS para recibir instrucciones y enviar resultados.

¿Cómo se instala?

Instalación en Windows

  • Se recomienda utilizarlo mediante Windows Subsystem for Linux (WSL).
  • Instalar una distribución Linux compatible.
  • Clonar el repositorio oficial y ejecutar la aplicación desde la terminal.

Instalación en Linux

En distribuciones como Kali Linux puede venir preinstalado.

Para instalar manualmente: 

sudo apt update
sudo apt install beef-xss

Para iniciarlo: 

sudo beef-xss

Instalación en macOS

  • Instalar Homebrew si no está disponible.
  • Clonar el repositorio oficial.
  • Ejecutar desde la terminal siguiendo las instrucciones del proyecto.

Configuración básica después de la instalación

Abrir una terminal.

  • Iniciar BeEF con:
sudo beef-xss
  • Acceder al panel web desde:
http://127.0.0.1:3000/ui/panel
  • Iniciar sesión con las credenciales configuradas.
  • Utilizar el script hook únicamente en entornos autorizados.

Interfaz y uso básico

BeEF se administra desde una interfaz web.

Permite:

  • Visualizar navegadores enganchados.
  • Ejecutar módulos disponibles.
  • Configurar opciones específicas para cada prueba.
  • Monitorear resultados en tiempo real.

Protocolos compatibles

BeEF trabaja principalmente sobre tecnologías web, incluyendo:

  • HTTP / HTTPS
  • JavaScript
  • HTML5
  • WebSockets

Ventajas de BeEF

  • ✅ Gratis y de código abierto.
  • ✅ Enfoque específico en seguridad del lado cliente.
  • ✅ Interfaz gráfica intuitiva.
  • ✅ Integración posible con otras herramientas de pruebas de penetración.
  • ✅ Amplia variedad de módulos disponibles.
Obtenido de «https://wiki.fixear.com.ar/mediawiki//index.php?title=BeEF&oldid=550»