粘贴板命令注入攻击

前言

关于 Web 安全的「粘贴板安全」，能意识到安全风险的人并不多。大多数人认为这只是隐私安全，最多泄露当前复制的内容而已。或者就是用于一些小花招，例如自动复制淘口令然后唤起手淘这种恶意行为。

事实上，粘贴板安全是非常重要的 —— 尤其是我们这些经常上网查资料的人。稍有不慎，系统都会被入侵！

所见非所得

有没有想过，当你选中一段文字复制后，粘贴出来的却是不同的内容？

你肯定不希望这样，但你一定遇到过。比如复制某帖子的时候，末尾会加上「出自作者 XXX」这种烦人的内容。

从技术上说，实现这种效果很容易。但是，你有没有从安全角度考虑过这个问题？

比如，你从 Stack Overflow 上搜到的答案是 ping google.com，一条人畜无害的命令，结果粘贴出来的却是 sudo rm -rf /，你看都没看就敲下了回车。。。

也许你会说，正规的网站怎么可能会开这种玩笑。但是，你能保证网站不出现 XSS 吗？

也许你会说，我是一个仔细的人，命令粘贴后都会检查下再运行。但是，这仍然晚了。。。

粘贴即运行

众所周知，粘贴多行命令时，Shell 会自动运行换行符前面的。例如：

echo 1
echo 2

当你将其粘贴到终端后，echo 1 已自动运行，敲下回车只是运行 echo 2 而已。

因此 XSS 完全可以将恶意命令放在第一行。你一粘贴，它就自动执行了！

以后你还敢从网上随意复制粘贴命令吗？

也许你在想，发现破绽后马上 ctrl c 来得及吗。来不及了，恶意命令完全可在后台执行，等你找到的时候说不定木马已经安装好了。

甚至，你可能根本都没发现破绽。。。

隐蔽执行

为了让恶意命令不留下痕迹，还可以在运行后再 clear。如果终端之前没内容，你只是觉得屏幕好像闪了一下。如果之前有内容，现在一粘贴突然变没了，也许你会觉得奇怪，但你会不会深究？

也许你会调出上一个命令，或通过 history 看究竟执行了什么。但是，恶意命令完全可以删掉历史记录，让你无从查证。

更进一步，恶意程序可将粘贴板修改成正常内容，你去其他地方粘贴看到的仍是预期内容。甚至，恶意程序还可以给网页里的 XSS 发送命令，让它以后不再劫持你了，让你一时半会都复现不出来！（当然，粘贴到远程服务器 ssh 的话无视这一步）

结论

从网上复制粘贴命令风险很大。最好先粘贴到记事本里检查一下，然后再粘贴到终端里运行。

演示

https://www.etherdream.com/funnyscript/clipboard-hijack/