基本介绍
浏览器现在允许开发人员在满足特定条件的情况下自动向用户的剪贴板添加内容,也就是说这只能由浏览器事件触发,这篇文章详细介绍了如何利用这一点来欺骗用户运行他们不想运行的命令,并获得代码执行
项目地址
https://github.com/dxa4481/Pastejacking
具体实现
Step 1:首先修改index.html中的字符串内容为你要执行的恶意代码,这里我们简单的将其修改为输出一个字符串"Al1ex",当然你后期也可以根据自己的情况和目的做调整
Step 2:之外我们在Chrome浏览器中访问当前index.html页面并复制内容(模拟用户访问的是一个正常的页面并复制了其中的内容),注意这里我们看到的是复制的"echo 'not evil'"
Step 3:为了便于测试我们当前已经成功劫持粘贴板并修改其中的内容,我们在这里打开命令行,之后粘贴到cmd中,可以看到成功劫持粘贴板,同时输出内容为我们修改的内容"Al1ex"
Step 4:Firefox中使用同样的方法依旧可以劫持成功
原文始发于微信公众号(七芒星实验室):粘贴板劫持技术
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论