【注意：此文章為博主原創文章！轉載需注意，請帶原文鏈接，至少也要是txt格式！】

很多時候大家可能某一時刻特別想知道管理員的密碼，就算你拿下webshell了，數據庫的密碼也是加密的，解開會超級麻煩，那么你就需要試試xss這個插件了。【form表單劫持(通用明文記錄)】

個人覺得把這個XSS 放入jquery當后門用真心不錯。。。就算管理員清除了網站木馬后門，這個不一定能發現并清除。

首先說一下對應名稱：

formname ?對應html源碼 form中的name

formid 對應html源碼 form中的id

funcname 對應html源碼中 ajax的加載項調用的代碼。文章最下面有示例。

假設我要劫持下面的登陸窗口。

需要劫持的窗口

然后我們鼠標右鍵，查看這段HTML代碼。

html form

這里注意到form 表單里面的 name的值 是formlogin 對吧。那么我們只需要回到XSS平臺配置一下XSS平臺模塊。如圖：

xss表單模塊配置

然后點配置，保存一下。然后來到項目代碼的地方，復制一下生成好的JS代碼。

生成好的JS表單劫持代碼

然后把這個JS代碼放入剛剛要劫持的網站。

需要劫持的地方植入XSS 代碼

然后只要對方在頁面登陸，這邊XSS平臺就會收到信息。下面我們嘗試登陸一下，當然，我不知道賬號密碼，只是隨便測試一下。

隨便登陸測試一下

點完登陸后，我們來看看XSS平臺收到的信息吧。

下方就是XSS平臺收到的圖片。

xss平臺收到的信息

以上就是針對普通表單劫持的方法及教程。----------------------

有些表單稍微特殊，例如有些表單我拿我自己的XSS平臺舉例吧，我的平臺登陸的地方用的是id + ajax的方式，如下圖。

id+ajax 方式登陸

id好找，那么ajax代碼如下圖：

ajax

每個網頁的登陸模塊的代碼都不一樣，大家仔細找，別跟著我這么設置，我這個只是劫持演示所以填寫的數據都是我需要劫持的頁面。。。你需要找你想劫持哪個頁面，就需要去你要劫持的頁面找對應的代碼。

那么我們平臺就需要這么設置了。

修改表單劫持插件

最后保存，然后把代碼放入頁面就OK啦。

總結

以上是生活随笔為你收集整理的xss劫持 HTML 表单,XSS 之 form表单劫持(通用明文记录)的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。