什么是剪贴板劫持-剪贴板劫持教程

目录

      • 前言
  • 什么是剪贴板劫持
  • 如何避免剪贴板劫持?
      • 如何执行剪贴板劫持?
  • 总结


前言

我来写剪贴板劫持教程。

什么是剪贴板劫持

剪贴板劫持是一种危险的攻击技术,借助该攻击者可以控制受害者的剪贴板并将恶意代码粘贴到目标机器中,然后攻击者控制受害者的机器。
剪贴板劫持或剪贴板劫持是恶意网站用来控制受害者计算机上的剪贴板并在受害者不知情的情况下将该内容更改为恶意内容的方法。剪贴板劫持是一种漏洞利用,其中一个人的剪贴板的内容被恶意行取代,例如指向恶意 Web 服务器的链接、恶意代码或命令。

  • 示例:用户上网,他得到了一些有用的命令。该命令由用户复制,但如果它是剪贴板劫持,则用户不会复制看起来正常的有用命令。用户甚至不知道他复制了一些恶意命令来代替看起来正常的有用命令。当他在Linux终端或Windows电源外壳中粘贴并运行命令时,他的机器将受到损害。

如何避免剪贴板劫持?

避免这种攻击非常容易。我们不应该将命令从网站直接复制并粘贴到终端。最好键入所需的命令。
如果我们必须从网站复制命令,我们可以复制它,但在将其粘贴到终端之前,我们应该将其粘贴到记事本、鼠标垫、叶垫等文本编辑器上。如果是剪贴板劫持,那么在文本编辑器中将向我们显示我们粘贴了什么命令。终端也可以向我们显示,但出于安全原因,我们不应该在终端上尝试。

这是防止剪贴板劫持攻击的过程:

  • 我们不应该从网站复制命令,最好自己输入
  • 对于很长的命令,在粘贴到终端或 powershell 上之前,我们通过将其粘贴到文本编辑器上来检查命令。
  • 打开剪贴板通知:某些操作系统允许我们 打开剪贴板通知,每次都会通知我们 某些内容被复制到我们的剪贴板。这可以帮助您捕获任何 可疑活动并保护我们的敏感信息。
  • 使用具有自动填充功能的密码管理器: 密码管理器,如 LastPass 或 1密码具有自动填充功能,可以填写登录信息 您无需复制和粘贴。
  • 使用密码生成器:而不是使用相同的旧无聊 密码,使用有趣而古怪的密码生成器来创建密码 比如“UnicornPizza88!”或“JellyfishRainbow123#”。这可以使 密码创建过程更愉快,麻烦更少。

通过采取这些步骤,我们可以保护自己免受剪贴板劫持,同时还可以在下面过程中获得一些乐趣!

如何执行剪贴板劫持?

所以基本上它可以从网站触发,所以,Web开发方面的良好知识可以实现这一点,或者我们可以简单地在我们的Kali Linux机器中使用像PasteJacker这样的自动化脚本。
要使用 PasteJacker 工具,我们需要使用以下命令从它的 GitHub 存储库克隆它显示了上述命令的输出:

git clone https://github.com/D4Vinci/PasteJacker

在这里插入图片描述
然后我们使用以下命令安装 PasteJacker:
然后它将为 PasteJacker 工具安装所有必需的 python 包。这个自动化脚本还在我们的Kali Linux中安装了PasteJacker工具

sudo python3 -m pip install ./PasteJacker

在这里插入图片描述
然后,我们可以通过应用命令在终端中的任何位置运行PasteJacker工具: 应用上述命令后,粘贴劫持工具的主菜单将显示

sudo pastejacker

在这里插入图片描述
现在我们可以使用剪贴板劫持工具。
菜单向我们显示了两个选项。如果我们要针对 Windows 目标使用,那么我们可以选择选项 1,对于针对 Linux 使用它,我们可以选择 2。在这里,我们选择 2 并按回车键。
在这里插入图片描述
在这里,第一个选项将创建一个隐藏的 bash 命令,该命令使用 wget 下载我们的并在受害者系统中执行我们的 msfvenom 有效负载(对 wget 进行您自己的研究)。
第二个选项将使用netcat创建受害者计算机的反向连接。在第三个中,我们可以创建单行恶意命令并使用它来执行剪贴板劫持。我们可以使用第一个或第二个选项,这些选项也很容易和自动化,但我们不会伤害任何人,所以我们编写了一个非恶意的单行自定义剪贴板劫持,仅用于概念验证。所以我们选择选项3.屏幕截图如下:
在这里插入图片描述
在这里,我们需要键入我们的一行命令。我们可以对 Linux 用户使用任何有害的命令,但我们输入了一个简单的命令来显示文本。

在这里插入图片描述
在这里,我们需要选择一个用于剪贴板劫持的模板。在这里,它有3种类型的剪贴板劫持方法。对于我们的那些例子,我们选择选项 2 ,即使用 javascript 剪贴板劫持。
然后 PasteJacker 工具将提示输入端口,我们可以将其留空并按回车键,因为默认端口为 80。
在这里插入图片描述
在这里,我们需要输入文本,我们需要按回车键双倍时间来完成它。这将是看起来正常的命令,我们可以键入任何内容来吸引受害者的注意力。
在这里插入图片描述
PasteJacker 工具在端口 80 中启动本地主机服务器。我们打开浏览器并转到我们的本地主机或 127.0.0.1,我们可以看到正常外观的命令。如果我们粘贴并运行它将更改为我们的单行命令。
在这里,我们打开了本地主机并复制了命令并将其粘贴到鼠标垫文本编辑器上,然后查看以下屏幕截图中的内容:
在这里插入图片描述
我们甚至可以修改网页,并将其赋予现实生活中的网站外观。为此,我们打开一个终端我们的根用户目录: 然后我们键入 cd 并输入以转到根用户的目录:

sudo su
cd

在这里插入图片描述
然后我们可以使用以下命令修改 html 页面:

sudo mousepad .pastejacker/index.html

在这里插入图片描述
在上面的屏幕截图中,我们可以看到本地托管网页的 html 代码。我们可以根据需要对其进行修改,就像对其进行了一点修改一样。
在这里插入图片描述

总结

这就是我们在本地网络上进行剪贴板劫持的方式。现在,我们可以使用SSH进行端口转发,也可以将此HTML网页托管到任何托管站点,以通过Internet使用剪贴板劫持攻击。这是一个演示。
因此,在本教程中,我们了解了剪贴板劫持。它是什么以及如何远离它。我们还学会如何执行剪贴板

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/5338.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

基于单片机的语音识别智能垃圾桶垃圾分类的设计与实现

功能介绍 以51单片机作为主控系统;液晶显示当前信息和状态;通过语音识别模块对当前垃圾种类进行语音识别; 通过蜂鸣器进行声光报警提醒垃圾桶已满;采用舵机控制垃圾桶打开关闭;超声波检测当前垃圾桶满溢程度&#xff1…

认识spring项目的创建 和 从spring中进行Bean对象的存取

前言 本篇简单介绍如何创建spring项目,如何存储到spring容器中,如何从容器中获取Bean对象,如有错误,请在评论区指正,让我们一起交流,共同进步! 文章目录 前言1. 创建spring项目2. 将Bean对象存…

RS485/RS232自由转ETHERNET/IP网关rs485和232接口一样吗

你是否曾经遇到过这样的问题:如何将ETHERNET/IP网络和RS485/RS232总线连接起来呢? 远创智控的YC-EIP-RS485/232通讯网关,自主研发的ETHERNET/IP从站功能,完美解决了这个难题。这款网关不仅可以将ETHERNET/IP网络和RS485/RS232总线…

服务器数据恢复-ESX SERVER无法连接到STORAGE的数据恢复案例

服务器数据恢复环境: 某公司信息管理平台,数台VMware ESX SERVER虚拟机共享一台IBM某型号存储。 服务器故障: VC报告虚拟磁盘丢失,管理员ssh到ESX中执行fdisk -l命令查看磁盘,发现STORAGE已经没有分区表了。重启设备后…

WAIC2023:图像内容安全黑科技助力可信AI发展

目录 0 写在前面1 AI图像篡改检测2 生成式图像鉴别2.1 主干特征提取通道2.2 注意力模块2.3 纹理增强模块 3 OCR对抗攻击4 助力可信AI向善发展总结 0 写在前面 2023世界人工智能大会(WAIC)已圆满结束,恰逢全球大模型和生成式人工智能蓬勃兴起之时,今年参…

C++第五讲

思维导图 续&#xff1a;myString类完善 /* ---------------------------------author&#xff1a;YoungZorncreated on 2023/7/19 19:20.--------------------------------- */ #include<iostream> #include<cstring>using namespace std;class myString { priva…

社区发现相关算法

目录 **社区检测与聚类****社区检测技术**1. Louvain 社区检测[2]2. Surprise社区检测[3]3. 莱顿社区检测[4]4. Walktrap 社区检测[5] 结论5.LPA 标签传播6.K-L算法7.GN算法8.Newman快速算法 SlashBurn: Graph Compression and Mining beyond Caveman CommunitiesReferences 摘…

WebSocket笔记

1. websocket介绍 WebSocket 是基于 TCP 的一种新的网络协议。它实现了浏览器与服务器全双工通信——浏览器和服务器只需要完成一次握手&#xff0c;两者之间就可以创建持久性的连接&#xff0c; 并进行双向数据传输。 HTTP协议和WebSocket协议对比&#xff1a; HTTP是短连接W…

【EXCEL】通过url获取网页表格数据

目录 0.环境 1.背景 2.具体操作 0.环境 windows excel2021 1.背景 之前我用python的flask框架的爬虫爬取过豆瓣网的电影信息&#xff0c;没想到excel可以直接通过url去获取网页表格内的信息&#xff0c;比如下图这是电影信息界面 即将上映电影 (douban.com) 通过excel操作&…

商品信息管理-亿发商品进销存管理系统,批发行业零售门店免费试用

众所周知&#xff0c;批发零售行业面临着商品品类繁多、品牌众多、商品信息量庞大等挑战。同时&#xff0c;商品售价波动频繁&#xff0c;还需要管理商品批次&#xff0c;避免积压过期。针对这些传统批发零售行业的管理难题&#xff0c;加快行业数字化转型成为解决之道&#xf…

不同局域网下使用Python自带HTTP服务进行文件共享「端口映射」

文章目录 1. 前言2. 视频教程3. 本地文件服务器搭建3.1 python的安装和设置3.2 cpolar的安装和注册 4. 本地文件服务器的发布4.1 Cpolar云端设置4.2 Cpolar本地设置 5. 公网访问测试6. 结语 1. 前言 数据共享作为和连接作为互联网的基础应用&#xff0c;不仅在商业和办公场景有…

目标检测——FasterRCNN原理与实现

目录 网络工作流程数据加载模型加载模型预测过程RPN获取候选区域FastRCNN进行目标检测 模型结构详解backboneRPN网络anchorsRPN分类RPN回归Proposal层 ROIPooling目标分类与回归 FasterRCNN的训练RPN网络的训练正负样本标记RPN网络的损失函数训练过程实现正负样本设置损失函数 …

Apache Doris (三十):Doris 数据导入(八)Spark Load 3- 导入HDFS数据

目录 1. 准备HDFS数据 2. 创建Doris表 3. 创建Spark Load导入任务 4. 查看导入任务状态 进入正文之前&#xff0c;欢迎订阅专题、对博文点赞、评论、收藏&#xff0c;关注IT贫道&#xff0c;获取高质量博客内容&#xff01; 宝子们订阅、点赞、收藏不迷路&#xff01;抓紧…

echarts实现渐变折线图并添加点击事件

折线图点击事件代码: let myChart = this.$echarts.init(document.getElementById(trendBoxECharts))myChart.getZr().on(click, params => {console.log(params)let pointInPixel = [params.offsetX, params.offsetY]if (myChart.containPixel(grid, pointInPixel)) {//点…

【JAVA】云HIS系统功能菜单知识(一)

一、云HIS特色 云HIS滚动消息栏&#xff1a;质控消息、住院时长、药库结转、患者入院、医嘱停止、新开医嘱、门诊用药不良、出院审核、药品调拨、排班提醒、药品库存、药品过期、药品临期等帮助医生、护士和相关管理人员实时接收院内消息并作出处理。 二、云HIS功能菜单 【预约…

8、gateway使用和原理

一、什么是Spring Cloud Gateway 1、网关简介 网关作为流量的入口&#xff0c;常用的功能包括路由转发&#xff0c;权限校验&#xff0c;限流等。 2、Gateway简介 Spring Cloud Gateway 是Spring Cloud官方推出的第二代网关框架&#xff0c;定位于取代 Netflix Zuul。相比 …

省电液晶驱动IC,VK2C22G,COG片高抗干扰抗噪系列LCD段码驱动芯片,I2C通信接口

型号:VK2C22G DICE(邦定COB)/COG&#xff08;绑定玻璃用&#xff09; VK2C22G概述&#xff1a; VK2C22G是一个点阵式存储映射的LCD驱动器&#xff0c;可支持最大176点&#xff08;44SEGx4COM&#xff09;的LCD屏。单片机可通过I2C接口配置显示参数和读写显示数据&#…

计算机网络 day7 扫描IP脚本 - 路由器 - ping某网址的过程

目录 network 和 NetworkManager关系&#xff1a; 实验&#xff1a;编写一个扫描脚本&#xff0c;知道本局域网里哪些ip在使用&#xff0c;哪些没有使用&#xff1f; 使用的ip对应的mac地址都要显示出来 计算机程序执行的两种不同方式&#xff1a; shell语言编写扫描脚本 …

C# 通过枚举类型字符串,反射到枚举上

C# 通过枚举类型字符串&#xff0c;反射到枚举上 通过类型字符串&#xff0c;反射出任意类型枚举类型通过反射调用枚举GetTypeByName(EnumName) 为空&#xff1f; 小结 通过类型字符串&#xff0c;反射出任意类型 之前老顾写过一篇博客&#xff0c;通过反射&#xff0c;使用字…

IDEA+java+spring+hibernate+jquery+mysql后台管理系统

IDEA javaspringhibernatejquerymysql后台管理系统 一、系统介绍1.环境配置 二、系统展示1. 管理员登录2.修改密码3.我的内容4.我的操作日志5. 我的登陆日志6. 我的登陆授权7. 内容管理8.标签管理9. 搜索词管理10.分类管理11.分类类型12.标签分类13.用户管理14.部门管理15.角色…