利用xss漏洞進行鍵盤記錄

前因:

最近在做某個測試項目,發現存在存儲型xss漏洞,可以打到cookie,但是網站後臺進入之後

發現訪問一些關鍵目錄時要求輸入二級密碼,雖然嘗試了抓包爆破,有軟硬waf沒跑出來,

然後想利用xss漏洞來進行鍵盤記錄抓取管理員輸入的二級密碼,雖然密碼最後是靠社工得到的,

不是利用xss鍵盤記錄獲取到的,但是還想分享給大家自己利用xss漏洞鍵盤記錄的操作。

這裡我本地搭建源碼給大家做演示。

第一步:我們去註冊個xss

平臺,網上有免費的,這個沒什麼要說的,

註冊好了登錄進去之後創建項目,項目名稱自定義,然後下一步。

利用xss漏洞進行鍵盤記錄

接下來我們選擇鍵盤記錄模板

利用xss漏洞進行鍵盤記錄

選擇完成之後點擊下一步

然後進入到了代碼頁面

利用xss漏洞進行鍵盤記錄

利用xss漏洞進行鍵盤記錄

我們複製利用代碼,留到存在xss的地方即可,和平時我們盜取cookie的操作方法是一樣的,只是調用js代碼不同而已。

利用xss漏洞進行鍵盤記錄

接下來我們進去後臺,模擬管理員操作,並且輸入一些相關字符,看能不能獲取到。。。。

利用xss漏洞進行鍵盤記錄

ok,現在已經抓取到了

利用xss漏洞進行鍵盤記錄

看到的小夥伴點個贊吧。。。你的支持是我的動力。。


分享到:


相關文章: