Создаем вредоносный QR-код

Создаем вредоносный QR-код

@council_mp
Статья написана с познавательной целью и не призывает к запрещенным законодательством действиям, а также не создает пропаганды. Любые действия, описанные ниже, вымышлены.


QR-коды стали обыденной вещью для многих пользователей интернета. Их используют, например, как один из способов авторизации в сервисы вроде WhatsApp, Яндекс и Aliexpress, а также встречаются QR-коды для подключения к определенной точке доступа Wi-Fi.

Но насколько надежна данная технология? Можно ли создать вредоносный QR-код, при сканировании которого устройство жертвы выполняет ряд заданных команд?


QRGen — утилита с открытым исходным кодом для эксплуатации уязвимости технологии сканирования типов матричных штрихкодов.


Установка утилиты

Открываем терминал и вводим команду для обновления пакетов:

pkg update && pkg upgrade

Устанавливаем git и python с помощью команд:

pkg install git

pkg install python

Клонируем репозиторий с GitHub:

git clone https://github.com/h0nus/QRGen

Переходим в папку с инструментом:

cd QRGen

Устанавливаем все требуемые компоненты:

pip install -r requirements.txt

Дожидаемся окончания процесса установки всех компонентов.


Создание вредоносного QR-кода

Если установка прошла корректно, то переходим к процессу создания вредоносного QR-кода. Запускаем инструмент с помощью команды:

python3 qrgen.py

Перед нами открывается панель инструмента с доступными параметрами для создания QR-кода.


Параметры:

  1. SQL-инъекции.
  2. XSS.
  3. Инъекции команд.
  4. QR-код с форматированной строкой.
  5. XXE.
  6. Фаззинг строк.
  7. SSI-инъекции.
  8. LFI или получение доступа к скрытым каталогам.


Генерируем вредоносный QR-код с желаемым параметром:

python3 qrgen.py -l <номер параметра>

После выполнения данной команды сгенерируется серия QR-кодов, последний из которых автоматически откроется в виде изображения.


Чтобы просмотреть все сгенерированную серию, вводим команды:

cd genqr

ls

Все изображения сохраняются в каталоге QRGen/genqr





_____________________________________

Наша торговая площадка@Market_PL

Наш канал с сливами баз данных@Council_Base


Report content on this page

Report Page

Please submit your DMCA takedown request to dmca@telegram.org