通过链接获取和注入剪贴板内容：Clipboardme

####################
免责声明：工具本身并无好坏，希望大家以遵守《网络安全法》相关法律为前提来使用该工具，支持研究学习，切勿用于非法犯罪活动，对于恶意使用该工具造成的损失，和本人及开发者无关。
####################

Clipboardme

Clipboardme是一个渗透测试工具，可以使用异步剪贴板API只需打开一个链接即可将内容读写到剪贴板。

浏览器正在实现用于异步剪贴板访问的新JavaScript API，以将复制和粘贴集成到Web应用程序中。它替代了基于同步execCommand的复制和粘贴。异步剪贴板请求在等待过程时不会阻塞页面，这是对同步请求的改进，它简化了事件并使其与拖放API对齐。

异步剪贴板API如何工作？

复制：将文本写入剪贴板

可以通过调用writeText()将文本静默地自动复制到剪贴板，而无需请求权限。例：

<script>navigator.clipboard.writeText('Malicious command to be copied');</script>

简单吧？如果用户在访问由Clipboardme生成的恶意网站后键入以下快捷方式序列，则可以制成Windows反弹Shell：Windows + x，p，ctrl + v。无需按回车键，只需说服目标即可运行该“快捷方式”攻击者可以控制Windows系统。

粘贴：从剪贴板读取文本

可以通过调用readText()从剪贴板读取文本（需要权限）。例：

<script>navigator.clipboard.readText().then(clipText =>  document.write(clipText));</script>

用户通常将诸如密码和个人详细信息之类的敏感信息复制到剪贴板，然后可以在任何页面上读取它们。Clipboardme工具可以创建HTTPS恶意页面来获取该内容。

为帮助防止滥用，仅当页面是活动选项卡且在受保护的域（https）上时，才允许剪贴板访问。活动选项卡中的页面可以在不请求权限的情况下写入剪贴板，但是从剪贴板进行读取始终需要权限。

下载与使用

浏览器兼容性

• Chrome 66

• Opera 53

• Chrome for Android

• Opera for Android

要求

• Ngrok Authtoken（用于TCP隧道）：在以下位置注册：https：//ngrok.com/signup

• 您的身份验证令牌可在您的仪表板上使用：https：//dashboard.ngrok.com

• 安装您的auhtoken: ./ngrok authtoken <YOUR_AUTHTOKEN>

git clone https://github.com/thelinuxchoice/clipboardmecd clipboardmebash clipboardme.sh

原文始发于微信公众号（菜鸟小新）：通过链接获取和注入剪贴板内容：Clipboardme