Mã QR là định dạng dữ liệu có thể đọc được bằng máy được sử dụng cho bất kỳ thứ gì cần được quét tự động. Có thể khai thác các lỗ hổng phổ biến bằng cách sử dụng các khai thác được đóng gói thành mã QR tùy chỉnh vì nó có ở khắp mọi nơi, từ bao bì sản phẩm đến thẻ lên máy bay, v.v. Hacker đã sử dụng một công cụ QRGen tạo mã QR độc hại để nhắm mục tiêu các thiết bị dễ bị tấn công. Các cuộc tấn công bằng mã QR rất mạnh vì con người không thể đọc hoặc hiểu thông tin có trong mã QR mà không quét nó, có khả năng làm lộ bất kỳ thiết bị nào được sử dụng để cố gắng giải mã mã cho mục đích khai thác có bên trong. Con người không thể phát hiện ra mã QR độc hại trước khi thực sự quét nó, khối lượng tương đối lớn của mã QR có thể phát huy tác dụng của kẻ tấn công, đặc biệt là khi kết hợp với các thiết bị dễ bị tấn công. Công cụQRGen sẽ nhận tải trọng và mã hóa nó thành mã QR bằng Python.
QRGen đi kèm với một thư viện tích hợp chứa rất nhiều cách khai thác phổ biến, điều này cực kỳ hữu ích nếu bạn có thời gian ngồi xuống với cùng một thiết bị mà bạn đang muốn khai thác và tìm ra cái nào hoạt động. Đối với một người kiểm tra thâm nhập muốn kiểm tra bất kỳ thứ gì sử dụng máy quét mã QR, chỉ cần mua cùng một máy quét và chạy qua các phần mềm khai thác có thể khiến bạn khiến máy quét hoạt động theo những cách không mong muốn. Có thể truy cập các danh mục trọng tải có sẵn trên QRGen bằng cách sử dụng cờ -l và một số trong khi chạy tập lệnh. Số lượng và loại trọng tải được liệt kê bên dưới.
-
Chèn lệnh
-
Định dạng chuỗi
-
Chuỗi Fuzzing
-
SQL Injection
-
Truyền tải thư mục
-
LFI
-
XSS
Cài đặt QRGen
Để bắt đầu với QRGen, chúng tôi sẽ cần tải xuống kho lưu trữ từ GitHub, thực hiện lệnh bên dưới trong cửa sổ dòng lệnh.
git clone https://github.com/h0nus/QRGen cd QRGen pip3 install -r requirements.txt
Tạo mã QR độc hại từ loại tải trọng
Sau khi cài đặt gói, bạn có thể chạy tập lệnh bằng cách nhập python3 qrgen.py như sau -
Để bắt đầu, hãy tạo một tải trọng chứa các tải trọng chuỗi định dạng. Để làm như vậy, hãy chạy QRGen với đối số sau.
Cuối cùng, một loạt mã QR sẽ được tạo và mã cuối cùng được tạo sẽ tự động hoạt động.
