HTML挂钩窃取 WEB 程序凭据

通过挂钩HTML中的输入字段以创建一个简单的键盘记录器来窃取目标主机的 WEB 程序登录凭据。

因为所有HTML元素都可以各种类型的事件,并在事件发生时执行代码。

首先,我们打开网页的登录页面,并在控制台键入以下代码:

t=""; $('input[type="password"]').onkeypress = function (e) { t+=e.key; console.log(t); localStorage.setItem("pw", t); } 

当在password字段输入内容时,将会在控制台下方显示输入的内容:

当需要再次查看时,可以通过在控制台下输入以下代码来加载之前的password字段的内容:

localStorage.pw

或者打开控制台——应用——本地存储也可查看:

在本地磁盘中,该localStorage的日志信息*.log会存储在C:\Users\apt-i\AppData\Local\Google\Chrome\User Data\Default\Local Storage\leveldb\目录下: