通过链接获取和注入剪贴板内容:Clipboardme

Clipboardme

Clipboardme是一个渗透测试工具,可以使用异步剪贴板API只需打开一个链接即可将内容读写到剪贴板。

浏览器正在实现用于异步剪贴板访问的新JavaScript API,以将复制和粘贴集成到Web应用程序中。它替代了基于同步execCommand的复制和粘贴。异步剪贴板请求在等待过程时不会阻塞页面,这是对同步请求的改进,它简化了事件并使其与拖放API对齐。

异步剪贴板API如何工作?

复制:将文本写入剪贴板

可以通过调用writeText()将文本静默地自动复制到剪贴板,而无需请求权限。例:

简单吧?如果用户在访问由Clipboardme生成的恶意网站后键入以下快捷方式序列,则可以制成Windows反弹Shell:Windows + x,p,ctrl + v。无需按回车键,只需说服目标即可运行该“快捷方式”攻击者可以控制Windows系统。

粘贴:从剪贴板读取文本

可以通过调用readText()从剪贴板读取文本(需要权限)。例:

用户通常将诸如密码和个人详细信息之类的敏感信息复制到剪贴板,然后可以在任何页面上读取它们。Clipboardme工具可以创建HTTPS恶意页面来获取该内容。

为帮助防止滥用,仅当页面是活动选项卡且在受保护的域(https)上时,才允许剪贴板访问。活动选项卡中的页面可以在不请求权限的情况下写入剪贴板,但是从剪贴板进行读取始终需要权限。

下载与使用

浏览器兼容性

  • Chrome 66
  • Opera 53
  • Chrome for Android
  • Opera for Android

要求

  • Ngrok Authtoken(用于TCP隧道):在以下位置注册:https://ngrok.com/signup
  • 您的身份验证令牌可在您的仪表板上使用:https://dashboard.ngrok.com
  • 安装您的auhtoken: ./ngrok authtoken <YOUR_AUTHTOKEN>