Hoy en día encontramos códigos QR en todas partes, ya sea en nuestras compras de comestibles hasta para hacer pagos e incluso como otro método para iniciar sesión en nuestras cuentas en línea.los códigos QR también pueden ser una gran amenaza si se usan sin saber cómo.

WhatsApp Web es muy popular entre los usuarios. Recientemente hemos mostrado cómo se puede utilizar QRLJacking para acceder a cualquier cuenta de WhatsApp. Ahora, le mostraremos otra herramienta utilizada para crear códigos QRL maliciosos con algunas cargas útiles conocidas.

QRLGEN se utiliza para generar códigos QRL genéricos mal formados, mencionan los expertos en hacking ético. Es útil al probar los escáneres de códigos QRL o cómo las aplicaciones manejan los datos del código QRL. La lista de palabras personalizada también se usa para crear códigos QRL.

  • Para las pruebas, usaremos Kali Linux 2019.1 amd64
  • Antes de instalar la herramienta, debe asegurarse de que python3 esté instalado
  • Para instalar, escriba sudo apt-get update && sudo apt-get install python3
  • Luego instale sudo apt-get install python3-pip
  • Escriba git clone https://github.com/h0nus/QRGen.git
root@kali:~/Downloads# git clone https://github.com/h0nus/QRGen.gitCloning into 'QRGen'remote: Enumerating objects: 86, done.remote: Counting objects: 100% (86/86), done.remote: Compressing objects: 100% (78/78), done.remote: Total 86 (delta 26), reused 4 (delta 1), pack-reused 0Unpacking objects: 100% (86/86), done.
  • Escriba cd QRGen y escriba ls
root@kali:~/Downloads# cd QRGen/root@kali:~/Downloads/QRGen#root@kali:~/Downloads/QRGen# lsdemo.gif  qrgen.py  README.md  requirements.txt  words
  • Escriba pip3 install -r requirements.txt
root@kali:~/Downloads/QRGen# pip3 install -r requirements.txtCollecting qrcode (from -r requirements.txt (line 1))Downloading https://files.pythonhosted.org/packages/42/87/4a3a77e59ab7493d64da1f69bf1c2e899a4cf81e51b2baa855e8cc8115be/qrcode-6.1-py2.py3-none-any.whlRequirement already satisfied: Pillow in /usr/lib/python3/dist-packages (from -r requirements.txt (line 2)) (5.3.0)Collecting argparse (from -r requirements.txt (line 3))Downloading https://files.pythonhosted.org/packages/f2/94/3af39d34be01a24a6e65433d19e107099374224905f1e0cc6bbe1fd22a2f/argparse-1.4.0-py2.py3-none-any.whlRequirement already satisfied: six in /usr/lib/python3/dist-packages (from qrcode->-r requirements.txt (line 1)) (1.12.0)Installing collected packages: qrcode, argparseSuccessfully installed argparse-1.4.0 qrcode-6.1
  • Esciba python3 qrgen.py
root@kali:~/Downloads/QRGen# python3 qrgen.py e88 88e   888 88e    e88'Y88d888 888b  888 888D  d888  'Y   ,e e,  888 8eC8888 8888D 888 88"  C8888 eeee d88 88b 888 88bY888 888P  888 b,    Y888 888P 888   , 888 888"88 88"   888 88b,   "88 88"   "YeeP" 888 888b8b,    QRGen ~ v0.1 ~ by h0nususage: qrgen.py -l [number]usage: qrgen.py -w [/path/to/custom/wordlist]Payload lists:0 : SQL Injections1 : XSS2 : Command Injection3 : Format String4 : XXE5 : String Fuzzing6 : SSI Injection7 : LFI / Directory TraversalTool to generate Malformed QRCodes for fuzzing QRCode parsers/readeroptional arguments:-h, --help            show this help message and exitOptions for QRGen:--list {0,1,2,3,4,5,6,7}, -l {0,1,2,3,4,5,6,7}Set wordlist to use--wordlist WORDLIST, -w WORDLISTUse a custom wordlistPay attention everywhere, even in the dumbest spot
  • Escriba python3 qrgen.py –list 1
root@kali:~/Downloads/QRGen# python3 qrgen.py --list 1 e88 88e   888 88e    e88'Y88d888 888b  888 888D  d888  'Y   ,e e,  888 8eC8888 8888D 888 88"  C8888 eeee d88 88b 888 88bY888 888P  888 b,    Y888 888P 888   , 888 888"88 88"   888 88b,   "88 88"   "YeeP" 888 888b8b,    QRGen ~ v0.1 ~ by h0nusPayload path exist, continuing…Path already cleared or deleted..Generated 113 payloads!Opening last generated payload…Thanks for using QRGen, made by H0nus..root@kali:~/Downloads/QRGen#
  • La consulta anterior ha generado un código QRL con formato incorrecto. Este código QRL se puede usar para manejar datos de código QRL
  • Podemos usar cualquier aplicación de lectura de QR en el móvil para probar códigos QR maliciosos, como se muestra a continuación en el video:
  • También podemos leer el código QR usando un lector de código QRL en línea
  • https://webqr.com/index.html se usa para descifrar el código QRL
  • Encontramos código XSS en el código QRL
  • El código anterior relaciona los ataques XSS mostrando una alerta. Cuando un usuario intenta hacer clic con el botón derecho del mouse, se mostrará un mensaje de alerta
  • Puede crear más códigos QRL malformados con otras cargas útiles. QRLGEN utiliza imágenes pre almacenadas para generar código QRL mal formado, mencionan los especialistas en hacking ético de IICS.

Fuente:https://noticiasseguridad.com/tutoriales/como-hackear-celulares-usando-codigos-qr-maliciosos/


Deja un comentario