Создаем вредоносный QR-код
@council_mpСтатья написана с познавательной целью и не призывает к запрещенным законодательством действиям, а также не создает пропаганды. Любые действия, описанные ниже, вымышлены.
QR-коды стали обыденной вещью для многих пользователей интернета. Их используют, например, как один из способов авторизации в сервисы вроде WhatsApp, Яндекс и Aliexpress, а также встречаются QR-коды для подключения к определенной точке доступа Wi-Fi.
Но насколько надежна данная технология? Можно ли создать вредоносный QR-код, при сканировании которого устройство жертвы выполняет ряд заданных команд?
QRGen — утилита с открытым исходным кодом для эксплуатации уязвимости технологии сканирования типов матричных штрихкодов.
Установка утилиты
Открываем терминал и вводим команду для обновления пакетов:
pkg update && pkg upgrade
Устанавливаем git и python с помощью команд:
pkg install git pkg install python
Клонируем репозиторий с GitHub:
git clone https://github.com/h0nus/QRGen
Переходим в папку с инструментом:
cd QRGen
Устанавливаем все требуемые компоненты:
pip install -r requirements.txt
Дожидаемся окончания процесса установки всех компонентов.
Создание вредоносного QR-кода
Если установка прошла корректно, то переходим к процессу создания вредоносного QR-кода. Запускаем инструмент с помощью команды:
python3 qrgen.py
Перед нами открывается панель инструмента с доступными параметрами для создания QR-кода.
Параметры:
- SQL-инъекции.
- XSS.
- Инъекции команд.
- QR-код с форматированной строкой.
- XXE.
- Фаззинг строк.
- SSI-инъекции.
- LFI или получение доступа к скрытым каталогам.
Генерируем вредоносный QR-код с желаемым параметром:
python3 qrgen.py -l <номер параметра>
После выполнения данной команды сгенерируется серия QR-кодов, последний из которых автоматически откроется в виде изображения.
Чтобы просмотреть все сгенерированную серию, вводим команды:
cd genqr ls
Все изображения сохраняются в каталоге QRGen/genqr
_____________________________________
Наша торговая площадка – @Market_PL
Наш канал с сливами баз данных – @Council_Base