剪贴板劫持--PasteJacker的使用

 启动

PasteJacker

[1] Windows
[2] Linux
[3] Exit

第一次是让我们选择要攻击针对的目标系统，这里以Windows系统为例，即我自己的物理机

因此键入 1 ，回车

[1] Download and execute a msfvenom backdoor using certutil (Web delivery + PasteJacking)                                                                                              
[2] Only serve my custom one-liner and do your PasteJacking thing! (PasteJacking only!)
[3] Back

第一个选项将创建一个隐藏的 bash 命令，在受害者系统中执行我们的 msfvenom 有效负载

第二个选项则是创建自己希望执行的命令（实际内容）

这里键入2进行演示

[Enter your one-liner]

 输入具体命令或者内容，比如我们键入test

[1] Using span style attribute to hide our lines.                                                                                                                              
[2] Using javascript to hook the copy event and replace copied data.
[3] Using span style again but this time to make our text transparent and non-markable
[4] Back

 接下来我们需要选择一个用于剪贴板劫持的模板，有3种类型，我们先选择2即javascript进行测试

[Port to serve on (80)]

 默认这个服务会放在80端口，直接回车即可，如果希望设置在其他端口也可以输入进行修改

(Press enter twice to finish...)

提示需要确认两次

我们先输入网页显示的内容 ，比如：copy me! 

注意这里需要回车两次 

使用Windows靶机进行访问和查看

网页显示内容为：copy me! 

但是我们将它复制下来，粘贴到一个地方看看

这个才是实际的内容，这里只是以test为例演示，实际攻击中一般是一些恶意代码或者命令

当然其实我们也可以通过查看它的源代码发现问题：

注意到一个细节：

它这里还存在一个换行符也就是回车，也就是说你将这个命令复制进终端，只要粘贴上去它就会自动执行，不需要你手动敲回车。

下面是我使用另外两种类型劫持模板的结果

Using span style attribute to hide our lines.

Using span style again but this time to make our text transparent and non-markable