利用xss漏洞进行键盘记录

前因:

最近在做某个测试项目,发现存在存储型xss漏洞,可以打到cookie,但是网站后台进入之后

发现访问一些关键目录时要求输入二级密码,虽然尝试了抓包爆破,有软硬waf没跑出来,

然后想利用xss漏洞来进行键盘记录抓取管理员输入的二级密码,虽然密码最后是靠社工得到的,

不是利用xss键盘记录获取到的,但是还想分享给大家自己利用xss漏洞键盘记录的操作。

这里我本地搭建源码给大家做演示。

第一步:我们去注册个xss平台,网上有免费的,这个没什么要说的,

注册好了登录进去之后创建项目,项目名称自定义,然后下一步。

接下来我们选择键盘记录模板

选择完成之后点击下一步

然后进入到了代码页面

 我们复制利用代码,留到存在xss的地方即可,和平时我们盗取cookie的操作方法是一样的,只是调用js代码不同而已。

接下来我们进去后台,模拟管理员操作,并且输入一些相关字符,看能不能获取到。。。。

ok,现在已经抓取到了

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

Palo Alto Networks:新型恶意软件家族Reaver与SunOrcal存在一定联系

概要 Unit 42安全小组已经发现了一种新的恶意软件家族,并将其命名为“Reaver”。研究人员表示,这一新型恶意软件与在2016年针对中国台湾地区的黑客攻击...

2485
来自专栏FreeBuf

攻击者侵入系统后如何提升账户权限:提权技术详细分析

提权 通常而言,恶意攻击者侵入到某个系统最初往往只能获取到一个普通权限的账户。但这无疑给进一步的渗透带来了阻碍,因此攻击者会开始尝试通过各种手段来提升自己的账户...

3363
来自专栏www.96php.cn

thinkphp整合系列之微信扫码支付

thinkphp整合系列之微信扫码支付 一:导入sdk /ThinkPHP/Library/Vendor/Weixinpay 鹅厂的sdk那酸爽谁用谁知道;...

4269
来自专栏blackpiglet

Discourse 搭建

Discourse 是由 Stack Overflow 创始人之一的 Jeff Atwood 主导的开源论坛项目,使用时能感受到和 Stack Overflow...

3062
来自专栏逸鹏说道

平安证券自主开户客户端存在任意用户信息篡改漏洞

详细说明: 1、打开应用点击“马上开户”-“我知道了”,登录账户 2、未注册过的手机登录时,验证码可爆破。但是这个只是任意用户注册,是另外一个漏洞了。 3、...

3056
来自专栏walterlv - 吕毅的博客

查询已连接 Wi-Fi 的密码(入门和进阶两种方法)

2017-10-09 13:01

5752
来自专栏CSDN技术头条

怒怼黑客,Linux 下的7个开源安全工具

https://www.tecmint.com/best-antivirus-programs-for-linux/

4027
来自专栏黑白安全

手把手打造404页面隐藏后门

1421
来自专栏安恒信息

“永恒之蓝”勒索病毒安全事件应急指导手册(附工具包)

相关说明 北京时间2017年05月12日,安恒信息监测到黑客利用NSA黑客武器库泄漏的“永恒之蓝”工具发起的网络攻击事件:大量服务器和个人PC感染病毒后被远程控...

3607
来自专栏FreeBuf

从某电商钓鱼事件探索黑客“一站式服务”

深信服EDR安全团队,整理分析了一起某电商钓鱼事件,通过关联信息,发现背后可能存在一个“产业链齐全”的黑客团伙,研究发现其具备“一站式服务”的黑客攻击手段。

1313

扫码关注云+社区

领取腾讯云代金券