声明:文章中仅供技术分析研究,任何违法非法使用带来的后果与本人、团队及公众号无关。1. 前言
关于 Web 安全的「粘贴板安全」,能意识到安全风险的人并不多。大多数人认为这只是隐私安全,最多泄露当前复制的内容而已。或者就是用于一些小花招,例如自动复制淘口令然后唤起手淘这种恶意行为。事实上,粘贴板安全是非常重要的 —— 尤其是我们这些经常上网查资料的人。稍有不慎,系统都会被入侵!从网上复制粘贴命令风险很大。最好先粘贴到记事本里检查一下,然后再粘贴到终端里运行。2. 所见非所得
有没有想过,当你选中一段文字复制后,粘贴出来的却是不同的内容?你肯定不希望这样,但你一定遇到过。比如复制某帖子的时候,末尾会加上「出自作者 XXX」这种烦人的内容。从技术上说,实现这种效果很容易。但是,你有没有从安全角度考虑过这个问题?比如,你从 Stack Overflow 上搜到的答案是 ping google.com,一条人畜无害的命令,结果粘贴出来的却是 sudo rm -rf /,你看都没看就敲下了回车。。。也许你会说,正规的网站怎么可能会开这种玩笑。但是,你能保证网站不出现 XSS 吗?也许你会说,我是一个仔细的人,命令粘贴后都会检查下再运行。但是,这仍然晚了。。。3. 粘贴即运行
众所周知,粘贴多行命令时,Shell 会自动运行换行符前面的。例如:echo 1
echo 2
当你将其粘贴到终端后,echo 1 已自动运行,敲下回车只是运行 echo 2 而已。因此 XSS 完全可以将恶意命令放在第一行。你一粘贴,它就自动执行了!也许你在想,发现破绽后马上 ctrl c 也来不及了,恶意命令完全可在后台执行,等你找到的时候说不定木马已经安装好了,甚至,你可能根本都没发现破绽。4. 隐蔽执行
为了让恶意命令不留下痕迹,还可以在运行后再 clear。如果终端之前没内容,你只是觉得屏幕好像闪了一下。如果之前有内容,现在一粘贴突然变没了,也许你会觉得奇怪,但你会不会深究?也许你会调出上一个命令,或通过 history 看究竟执行了什么。但是,恶意命令完全可以删掉历史记录,让你无从查证。更进一步,恶意程序可将粘贴板修改成正常内容,你去其他地方粘贴看到的仍是预期内容。甚至,恶意程序还可以给网页里的 XSS 发送命令,让它以后不再劫持你了,让你一时半会都复现不出来!(当然,粘贴到远程服务器 ssh 的话无视这一步)6. 演示
首先看下我们的源码内容
第一次无害实验:我在这里就直接使用windows复制该指令并打开cmd执行,并在我们的user文件夹下验证
第二次cobalt strike上线测试
生成payload并进行替换
复制并进行执行
查看上线情况
该文章所含下载链接已经上传到网盘,关注公众号后回复关键字“board”即可得到下载链接。 
还没有评论,来说两句吧...