資料結構
網路
關係型資料庫管理系統
作業系統
Java
MS Excel
iOS
HTML
CSS
Android
Python
C 程式設計
C++
C#
MongoDB
MySQL
Javascript
PHP
物理學
化學
生物學
數學
英語
經濟學
心理學
社會學
服裝設計
法律研究使用 QRGen 生成惡意二維碼
二維碼是機器可讀的資料格式,用於需要自動掃描的任何內容。由於二維碼無處不在,從產品包裝到航空公司登機牌等,因此有可能利用常見的漏洞,將打包在自定義二維碼中的漏洞利用程式加以利用。駭客使用了一個名為 QRGen 的工具來建立惡意二維碼,以攻擊易受攻擊的裝置。二維碼攻擊非常有效,因為人類無法在不掃描的情況下讀取或理解二維碼中包含的資訊,從而可能將任何用於嘗試解讀二維碼的裝置暴露給其中包含的漏洞利用程式。人類在實際掃描之前無法發現惡意二維碼,二維碼相對較大的有效負載可以為駭客帶來優勢,尤其是在與易受攻擊的裝置結合使用時。QRGen 工具將使用 Python 將有效負載編碼到二維碼中。
QRGen 帶有一個內建庫,其中包含許多流行的漏洞利用程式,如果您有時間使用您想要利用的相同裝置並找出哪個漏洞利用程式有效,這將非常有用。對於希望審計任何使用二維碼掃描器的滲透測試人員來說,只需購買相同的掃描器並執行漏洞利用程式就可以導致掃描器以意外的方式執行。QRGen 上可用的有效負載類別可以透過在執行指令碼時使用 -l 標誌和一個數字來訪問。數字和有效負載型別列在下面。
命令注入
格式化字串
字串模糊測試
SQL 注入
目錄遍歷
本地檔案包含(LFI)
跨站指令碼(XSS)
安裝 QRGen
要開始使用 QRGen,我們需要從 GitHub 下載儲存庫,並在終端視窗中執行以下命令。
git clone https://github.com/h0nus/QRGen cd QRGen pip3 install -r requirements.txt
從有效負載型別生成惡意二維碼
安裝打包程式後,您可以透過鍵入 python3 qrgen.py 執行指令碼,如下所示:
首先,讓我們建立一個包含格式化字串有效負載的有效負載。為此,請使用以下引數執行 QRGen。
最後,將生成一系列二維碼,並且最後建立的二維碼將自動開啟。
更新於: 2020-09-29
797 次瀏覽
廣告