登陆 注册

利用xss漏洞进行键盘记录

桑云信息Lzers 2018-04-11

前因:

最近在做某个测试项目,发现存在存储型xss漏洞,可以打到cookie,但是网站后台进入之后

发现访问一些关键目录时要求输入二级密码,虽然尝试了抓包爆破,有软硬waf没跑出来,

然后想利用xss漏洞来进行键盘记录抓取管理员输入的二级密码,虽然密码最后是靠社工得到的,

不是利用xss键盘记录获取到的,但是还想分享给大家自己利用xss漏洞键盘记录的操作。

这里我本地搭建源码给大家做演示。

第一步:我们去注册个xss平台,网上有免费的,这个没什么要说的,

注册好了登录进去之后创建项目,项目名称自定义,然后下一步。

 

利用xss漏洞进行键盘记录  第1张


选择完成之后点击下一步

然后进入到了代码页面

 

 

利用xss漏洞进行键盘记录  第2张

 

 我们复制利用代码,留到存在xss的地方即可,和平时我们盗取cookie的操作方法是一样的,只是调用js代码不同而已。

 

利用xss漏洞进行键盘记录  第3张


ok,现在已经抓取到了

 

利用xss漏洞进行键盘记录 渗透测试 第7张


生成海报
桑云信息Lzers

桑云信息Lzers

乐山桑云信息技术有限公司专注于企业安全与网站、小程序、APP架设,为企业客户提供一站式解决方案,帮助企业快速实现互联网+转型。
909文章数 31评论数
请关注微信公众号
微信二维码
不容错过
Powered By SangYun.Net