使用 QRGen 生成恶意二维码

Python 服务器端编程编程

二维码是机器可读的数据格式，用于需要自动扫描的任何内容。由于二维码无处不在，从产品包装到航空公司登机牌等，因此有可能利用常见的漏洞，将打包在自定义二维码中的漏洞利用程序加以利用。黑客使用了一个名为 QRGen 的工具来创建恶意二维码，以攻击易受攻击的设备。二维码攻击非常有效，因为人类无法在不扫描的情况下读取或理解二维码中包含的信息，从而可能将任何用于尝试解读二维码的设备暴露给其中包含的漏洞利用程序。人类在实际扫描之前无法发现恶意二维码，二维码相对较大的有效负载可以为黑客带来优势，尤其是在与易受攻击的设备结合使用时。QRGen 工具将使用 Python 将有效负载编码到二维码中。

QRGen 带有一个内置库，其中包含许多流行的漏洞利用程序，如果您有时间使用您想要利用的相同设备并找出哪个漏洞利用程序有效，这将非常有用。对于希望审计任何使用二维码扫描仪的渗透测试人员来说，只需购买相同的扫描仪并运行漏洞利用程序就可以导致扫描仪以意外的方式运行。QRGen 上可用的有效负载类别可以通过在运行脚本时使用 -l 标志和一个数字来访问。数字和有效负载类型列在下面。

命令注入
格式化字符串
字符串模糊测试
SQL 注入
目录遍历
本地文件包含（LFI）
跨站脚本（XSS）

安装 QRGen

要开始使用 QRGen，我们需要从 GitHub 下载存储库，并在终端窗口中执行以下命令。

git clone https://github.com/h0nus/QRGen
cd QRGen
pip3 install -r requirements.txt

从有效负载类型生成恶意二维码

安装打包程序后，您可以通过键入 python3 qrgen.py 运行脚本，如下所示：

首先，让我们创建一个包含格式化字符串有效负载的有效负载。为此，请使用以下参数运行 QRGen。

最后，将生成一系列二维码，并且最后创建的二维码将自动打开。

Ajay Yadav

更新于: 2020-09-29

797 次浏览

开启您的职业生涯

通过完成课程获得认证

广告