沈阳网站模板建站,详情页尺寸一般是多少,开设购物网站的方案,竹山县建设局网站目录 前言 什么是剪贴板劫持如何避免剪贴板劫持#xff1f;如何执行剪贴板劫持#xff1f; 总结 前言
我来写剪贴板劫持教程。
什么是剪贴板劫持
剪贴板劫持是一种危险的攻击技术#xff0c;借助该攻击者可以控制受害者的剪贴板并将恶意代码粘贴到目标机器中#xff0c;… 目录 前言 什么是剪贴板劫持如何避免剪贴板劫持如何执行剪贴板劫持 总结 前言
我来写剪贴板劫持教程。
什么是剪贴板劫持
剪贴板劫持是一种危险的攻击技术借助该攻击者可以控制受害者的剪贴板并将恶意代码粘贴到目标机器中然后攻击者控制受害者的机器。 剪贴板劫持或剪贴板劫持是恶意网站用来控制受害者计算机上的剪贴板并在受害者不知情的情况下将该内容更改为恶意内容的方法。剪贴板劫持是一种漏洞利用其中一个人的剪贴板的内容被恶意行取代例如指向恶意 Web 服务器的链接、恶意代码或命令。
示例用户上网他得到了一些有用的命令。该命令由用户复制但如果它是剪贴板劫持则用户不会复制看起来正常的有用命令。用户甚至不知道他复制了一些恶意命令来代替看起来正常的有用命令。当他在Linux终端或Windows电源外壳中粘贴并运行命令时他的机器将受到损害。
如何避免剪贴板劫持
避免这种攻击非常容易。我们不应该将命令从网站直接复制并粘贴到终端。最好键入所需的命令。 如果我们必须从网站复制命令我们可以复制它但在将其粘贴到终端之前我们应该将其粘贴到记事本、鼠标垫、叶垫等文本编辑器上。如果是剪贴板劫持那么在文本编辑器中将向我们显示我们粘贴了什么命令。终端也可以向我们显示但出于安全原因我们不应该在终端上尝试。
这是防止剪贴板劫持攻击的过程
我们不应该从网站复制命令最好自己输入对于很长的命令在粘贴到终端或 powershell 上之前我们通过将其粘贴到文本编辑器上来检查命令。打开剪贴板通知某些操作系统允许我们 打开剪贴板通知每次都会通知我们 某些内容被复制到我们的剪贴板。这可以帮助您捕获任何 可疑活动并保护我们的敏感信息。使用具有自动填充功能的密码管理器 密码管理器如 LastPass 或 1密码具有自动填充功能可以填写登录信息 您无需复制和粘贴。使用密码生成器而不是使用相同的旧无聊 密码使用有趣而古怪的密码生成器来创建密码 比如“UnicornPizza88”或“JellyfishRainbow123#”。这可以使 密码创建过程更愉快麻烦更少。
通过采取这些步骤我们可以保护自己免受剪贴板劫持同时还可以在下面过程中获得一些乐趣
如何执行剪贴板劫持
所以基本上它可以从网站触发所以Web开发方面的良好知识可以实现这一点或者我们可以简单地在我们的Kali Linux机器中使用像PasteJacker这样的自动化脚本。 要使用 PasteJacker 工具我们需要使用以下命令从它的 GitHub 存储库克隆它显示了上述命令的输出
git clone https://github.com/D4Vinci/PasteJacker然后我们使用以下命令安装 PasteJacker 然后它将为 PasteJacker 工具安装所有必需的 python 包。这个自动化脚本还在我们的Kali Linux中安装了PasteJacker工具
sudo python3 -m pip install ./PasteJacker然后我们可以通过应用命令在终端中的任何位置运行PasteJacker工具 应用上述命令后粘贴劫持工具的主菜单将显示
sudo pastejacker现在我们可以使用剪贴板劫持工具。 菜单向我们显示了两个选项。如果我们要针对 Windows 目标使用那么我们可以选择选项 1对于针对 Linux 使用它我们可以选择 2。在这里我们选择 2 并按回车键。 在这里第一个选项将创建一个隐藏的 bash 命令该命令使用 wget 下载我们的并在受害者系统中执行我们的 msfvenom 有效负载对 wget 进行您自己的研究。 第二个选项将使用netcat创建受害者计算机的反向连接。在第三个中我们可以创建单行恶意命令并使用它来执行剪贴板劫持。我们可以使用第一个或第二个选项这些选项也很容易和自动化但我们不会伤害任何人所以我们编写了一个非恶意的单行自定义剪贴板劫持仅用于概念验证。所以我们选择选项3.屏幕截图如下 在这里我们需要键入我们的一行命令。我们可以对 Linux 用户使用任何有害的命令但我们输入了一个简单的命令来显示文本。 在这里我们需要选择一个用于剪贴板劫持的模板。在这里它有3种类型的剪贴板劫持方法。对于我们的那些例子我们选择选项 2 即使用 javascript 剪贴板劫持。 然后 PasteJacker 工具将提示输入端口我们可以将其留空并按回车键因为默认端口为 80。 在这里我们需要输入文本我们需要按回车键双倍时间来完成它。这将是看起来正常的命令我们可以键入任何内容来吸引受害者的注意力。 PasteJacker 工具在端口 80 中启动本地主机服务器。我们打开浏览器并转到我们的本地主机或 127.0.0.1我们可以看到正常外观的命令。如果我们粘贴并运行它将更改为我们的单行命令。 在这里我们打开了本地主机并复制了命令并将其粘贴到鼠标垫文本编辑器上然后查看以下屏幕截图中的内容 我们甚至可以修改网页并将其赋予现实生活中的网站外观。为此我们打开一个终端我们的根用户目录 然后我们键入 cd 并输入以转到根用户的目录
sudo sucd然后我们可以使用以下命令修改 html 页面
sudo mousepad .pastejacker/index.html在上面的屏幕截图中我们可以看到本地托管网页的 html 代码。我们可以根据需要对其进行修改就像对其进行了一点修改一样。
总结
这就是我们在本地网络上进行剪贴板劫持的方式。现在我们可以使用SSH进行端口转发也可以将此HTML网页托管到任何托管站点以通过Internet使用剪贴板劫持攻击。这是一个演示。 因此在本教程中我们了解了剪贴板劫持。它是什么以及如何远离它。我们还学会如何执行剪贴板
