รหัส QR เป็นรูปแบบข้อมูลที่เครื่องอ่านได้ ใช้สำหรับทุกสิ่งที่จำเป็นต้องสแกนโดยอัตโนมัติ เป็นไปได้ที่จะใช้ประโยชน์จากช่องโหว่ทั่วไปโดยใช้ช่องโหว่ที่บรรจุอยู่ในรหัส QR แบบกำหนดเองตามที่เป็นอยู่ทุกหนทุกแห่งตั้งแต่บรรจุภัณฑ์ของผลิตภัณฑ์ไปจนถึงบัตรผ่านขึ้นเครื่องของสายการบิน ฯลฯ แฮ็กเกอร์ใช้เครื่องมือ QRGen ที่สร้างรหัส QR ที่เป็นอันตรายเพื่อกำหนดเป้าหมายอุปกรณ์ที่มีช่องโหว่ การโจมตีด้วยรหัส QR มีศักยภาพเนื่องจากมนุษย์ไม่สามารถอ่านหรือเข้าใจข้อมูลที่มีอยู่ในรหัส QR โดยไม่ต้องสแกน อาจทำให้อุปกรณ์ใด ๆ ที่ใช้ในการพยายามถอดรหัสรหัสไปยังช่องโหว่ที่มีอยู่ภายใน มนุษย์ไม่สามารถระบุรหัส QR ที่เป็นอันตรายได้ก่อนที่จะสแกนจริง ๆ โค้ด QR ที่มีขนาดค่อนข้างใหญ่สามารถทำงานเพื่อประโยชน์ของแฮ็กเกอร์ โดยเฉพาะอย่างยิ่งเมื่อรวมกับอุปกรณ์ที่มีช่องโหว่ เครื่องมือ QRGen จะรับเพย์โหลดและเข้ารหัสเป็นโค้ด QR โดยใช้ Python
QRGen มาพร้อมกับไลบรารี่ในตัวที่มีช่องโหว่ยอดนิยมมากมาย ซึ่งมีประโยชน์อย่างยิ่งหากคุณมีเวลานั่งลงกับอุปกรณ์เครื่องเดิมที่คุณต้องการหาประโยชน์และค้นหาว่าอันไหนใช้ได้ผล สำหรับผู้ทดสอบการเจาะระบบที่ต้องการตรวจสอบทุกอย่างที่ใช้เครื่องสแกนรหัส QR การซื้อเครื่องสแกนเครื่องเดียวกันและดำเนินการตามช่องโหว่อาจทำให้เครื่องสแกนทำงานในลักษณะที่ไม่คาดคิดได้ หมวดหมู่ของเพย์โหลดที่มีอยู่ใน QRGen สามารถเข้าถึงได้โดยใช้แฟล็ก -l และตัวเลขขณะรันสคริปต์ หมายเลขและประเภทเพย์โหลดแสดงอยู่ด้านล่าง
-
คำสั่งฉีด
-
รูปแบบสตริง
-
สตริงฟัซซิ่ง
-
การฉีด SQL
-
ไดเร็กทอรี Traversal
-
LFI
-
XSS
ติดตั้ง QRGen
ในการเริ่มต้นด้วย QRGen เราจะต้องดาวน์โหลดที่เก็บจาก GitHub โดยทำตามคำสั่งด้านล่างในหน้าต่างเทอร์มินัล
git clone https://github.com/h0nus/QRGen cd QRGen pip3 install -r requirements.txt
สร้าง QR Code ที่เป็นอันตรายจากประเภท Payload
หลังจากติดตั้งแพ็คเกจแล้ว คุณสามารถเรียกใช้สคริปต์โดยพิมพ์ python3 qrgen.py ดังต่อไปนี้ -
ในการเริ่มต้น ให้สร้างเพย์โหลดที่มีเพย์โหลดสตริงรูปแบบ โดยเรียกใช้ QRGen ด้วยอาร์กิวเมนต์ต่อไปนี้
ในที่สุด รหัส QR จะถูกสร้างขึ้น และชุดสุดท้ายที่สร้างขึ้นจะเปิดขึ้นโดยอัตโนมัติ
