粘贴板劫持技术

admin 2022年9月17日17:48:08安全文章评论13 views469字阅读1分33秒阅读模式

基本介绍

浏览器现在允许开发人员在满足特定条件的情况下自动向用户的剪贴板添加内容,也就是说这只能由浏览器事件触发,这篇文章详细介绍了如何利用这一点来欺骗用户运行他们不想运行的命令,并获得代码执行

项目地址

https://github.com/dxa4481/Pastejacking

粘贴板劫持技术

具体实现

Step 1:首先修改index.html中的字符串内容为你要执行的恶意代码,这里我们简单的将其修改为输出一个字符串"Al1ex",当然你后期也可以根据自己的情况和目的做调整

粘贴板劫持技术


Step 2:之外我们在Chrome浏览器中访问当前index.html页面并复制内容(模拟用户访问的是一个正常的页面并复制了其中的内容),注意这里我们看到的是复制的"echo 'not evil'"

粘贴板劫持技术

Step 3:为了便于测试我们当前已经成功劫持粘贴板并修改其中的内容,我们在这里打开命令行,之后粘贴到cmd中,可以看到成功劫持粘贴板,同时输出内容为我们修改的内容"Al1ex"

粘贴板劫持技术

Step 4:Firefox中使用同样的方法依旧可以劫持成功

粘贴板劫持技术



原文始发于微信公众号(七芒星实验室):粘贴板劫持技术

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月17日17:48:08
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  粘贴板劫持技术 http://cn-sec.com/archives/1300637.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: