【转载】不用AJAX照样能隐秘提交恶意表单

admin 2021年4月3日19:04:29评论30 views字数 1214阅读4分2秒阅读模式

    今日跨站时,懒得写AJAX代码,想到了利用FORM target属性 + iframe来模拟恶意表单提交动作。

    XSS代码:
          
        //恶意注入的XSS代码 引用了远程我们自己编写的JS脚本

    hide.js
        //以下是hide.js脚本的内容:
            document.write('

    首先我们利用document.write将我们需要用到的代码输出到页面上。下面是代码解释:

   
    //这里写了一个隐藏的 IFRAME,  设置style="display:none" 设置不显示。 还有设置 NAME=“hidden_frame” 在表单的 target属性时需要用到

   

http://www.XXXXX-XXXXXX.cn/admin/Admin_modify.asp?id=1" method="post" enctype="application/x-www-form-urlencoded" name="xss" target="hidden_frame">
    //设置好提交地址,还有一点在于 FORM 的 NAME='XSS'  这里等下我们 用JS自动提交表单时 需要用到 ,主要的是  target="hidden_frame" 设置在 hidden_frame 里执行我们的提交动作。起到隐藏提交作用。
    我们这里设置在 iframe 里面执行提交动作,那么我们本页面就不会刷新,页面也不会被重定向到提交地址,而iframe 我们又设置了不可见。 其实用挂马常用的 宽度高度=0 是一样可以的。
    //构造的提交参数和值
    //构造的提交参数和值
    //构造的提交参数和值
   

    以上表单的作用是实现提交一个密码修改表单的功能。

    最后:document.forms['xss'].submit(); 提交 NAME=“XSS” 的表单。

    其实谈不上原创, 只是自己想出来的另外一条 小道道。。。

    作为一个菜鸟,我感到很大的鸭梨!!!

文章来源于lcx.cc:【转载】不用AJAX照样能隐秘提交恶意表单

相关推荐: Java WebServer 自动部署后门附工具和源码

Java WebServer 自动部署后门附工具和源码 园长 (你在身边就是缘,缘分写在数据库里面。) | 2014-01-07 19:33 社区发现有人发了一个Jboss的自动部署war的后门:求此后门的利用方法。 挺聪明的Server一般都提供了自动部署服…

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年4月3日19:04:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【转载】不用AJAX照样能隐秘提交恶意表单https://cn-sec.com/archives/319797.html

发表评论

匿名网友 填写信息