Clipboardme - захват содержимого буфера обмена цели

Clipboardme - это инструмент для пентестера, который может читать и записывать содержимое в буфере обмена, если жертва просто откроет ссылку, с помощью API асинхронного буфера обмена.

Как работает Async Clipboard API?
Копировать: Запись текста в буфер обмена

Текст можно автоматически скопировать в буфер обмена, вызвав метод writeText (), не запрашивая разрешения. Пример:
 

<script>
navigator.clipboard.writeText('Malicious command to be copied');
</script>

Просто, да? Насколько это опасно, если пользователь убежден, что нужно запускать содержимое буфера обмена? Оболочка Windows может быть сделана, если после ввода вредоносной ссылки, созданной с помощью clipboardme, пользователь вводит следующую последовательность ярлыков: windows + x, p, ctrl + v. Не нужно нажимать клавишу ввода, просто убедите цель запустить этот «ярлык» стоб взять под контроль систему Windows. Этот сценарий может возникнуть, когда цель должна выполнить содержимое буфера обмена.
Вставить: чтение текста из буфера обмена

Текст можно прочитать (требует разрешения) из буфера обмена, вызвав readText ().

Пример:

<script>
navigator.clipboard.readText().then(clipText => document.write(clipText));
</script>

Пользователи регулярно копируют конфиденциальную информацию, такую ​​как пароли и личные данные, в буфер обмена, который затем может быть прочитан любой страницей. Инструмент Clipboardme может создать вредоносную страницу HTTPS для захвата этого содержимого.

Чтобы предотвратить злоупотребления, доступ к буферу обмена разрешен только в том случае, если страница находится на активной вкладке и над защищенными доменами (https). Страницы в активных вкладках могут записывать в буфер обмена без запроса разрешения, но для чтения из буфера обмена всегда требуется разрешение.
Совместимость с браузерами:

Chrome 66, Opera 53, Chrome для Android, Opera для Android

Установка и запуск

git clone https://github.com/thelinuxchoice/clipboardme
cd clipboardme
./clipboardme.sh