如何进行二维码扫码登录克星QRLJacker攻击向量分析及演示

作者：春370453095_241 | 来源：互联网 | 2023-09-08 14:18

本篇文章给大家分享的是有关如何进行二维码扫码登录克星QRLJacker攻击向量分析及演示，小编觉得挺实用的，因此分享给大家学习，希望大家阅读完这

本篇文章给大家分享的是有关如何进行二维码扫码登录克星QRLJacker攻击向量分析及演示，小编觉得挺实用的，因此分享给大家学习，希望大家阅读完这篇文章后可以有所收获，话不多说，跟着小编一起来看看吧。

QRLJacker，又名Quick Response Code LoginJacking，这是一种简单但功能强大的攻击向量，大部分拥有二维码扫码登录功能的Web应用程序都会受到这种攻击向量的影响，这种功能本身是为了提升用户账号安全性来设计的，但攻击者可以通过劫持用户会话来破坏这种安全功能。

实际上，QRLJacking就是一种新型的社会工程学攻击向量，而我们设计的QRLJacking是一款高度定制化的漏洞利用框架，该框架可以用来演示或执行“QRLJacking攻击向量”。

工具演示视频

工具运行截图

如何进行二维码扫码登录克星QRLJacker攻击向量分析及演示

工具依赖

1.Linux或macOS（暂不支持Windows）
2.Python 3.7+

工具安装

1.将Firefox浏览器升级至最新版本；

2.从【这里】获取最新版本的geckodriver，并提取文件：

chmod +x geckodriversudo mv -f geckodriver /usr/local/share/geckodriversudo ln -s /usr/local/share/geckodriver /usr/local/bin/geckodriversudo ln -s /usr/local/share/geckodriver /usr/bin/geckodriver

3.使用下列命令克隆代码库：

git clone https://github.com/OWASP/QRLJackingcd QRLJacking/QRLJacker

4.安装依赖组件：

pip install -r requirements.txt

5.工具运行：

python3 QrlJacker.py --help

工具使用

命令行参数：

usage:QrlJacker.py [-h] [-r ] [-x ] [--debug] [--dev] [--verbose] [-q]optional arguments:  -h, --help show this help message and exit  -r         Execute a resource file (history file).  -x         Execute a specific command (use ; for multiples).  --debug    Enables debug mode (Identifying problems easier).  --dev      Enables development mode (Reloading modules every use).  --verbose  Enables verbose mode (Display more details).  -q         Quit mode (no banner).

主菜单：

General commands=================       Command               Description       ---------             -------------       help/?                Show this help menu.       os          Execute asystem command without closing the framework       banner                Display banner.       exit/quit             Exit the framework.Core commands=============       Command               Description       ---------             -------------       database              Prints the core version, check ifframework is up-to-date and update if you are not up-to-date.       debug                 Drop into debug mode ordisable it. (Making identifying problems easier)       dev                   Drop into development modeor disable it. (Reload modules every use)       verbose               Drop into verbose mode or disable it. (Makeframework displays more details)       reload/refresh        Reload the modules database.Resources commands==================       Command               Description       ---------             -------------       history               Display commandline most importanthistory from the beginning.       makerc                Save the most importantcommands entered since start to a file.       resource       Run the commandsstored in a file.Sessions management commands============================       Command               Description       ---------             -------------       sessions (-h)         Dump session listings and displayinformation about sessions.       jobs    (-h)         Displays and managesjobs.Module commands===============       Command               Description       ---------             -------------       list/show             List modules you can use.       use          Use anavailable module.       info         Get informationabout an available module.       previous              Runs the previously loadedmodule.       search         Search for amodule by a specific text in its name or in its description.

模块菜单：

General commands=================       Command               Description       ---------             -------------       help/?                Show this help menu.       os          Execute asystem command without closing the framework       banner                Display banner.       exit/quit             Exit the framework.Core commands=============       Command               Description       ---------             -------------       database              Prints the core version and thencheck if it&＃39;s up-to-date.       debug                 Drop into debug mode ordisable it. (Making identifying problems easier)       dev                   Drop into development modeor disable it. (Reload modules every use)       verbose               Drop into verbose mode ordisable it. (Make framework displays more details)       reload/refresh        Reload the modules database.Resources commands==================       Command               Description       ---------             -------------       history               Display commandline mostimportant history from the beginning.       makerc               Save the mostimportant commands entered since start to a file.       resource       Run the commandsstored in a file.Sessions management commands============================       Command               Description       ---------             -------------       sessions (-h)         Dump session listings and displayinformation about sessions.       jobs    (-h)         Displays and managesjobs.Module commands===============       Command               Description       ----------            --------------       list/show             List modules you can use.       options               Displays options for the currentmodule.       set                   Sets a context-specificvariable to a value.       run                   Launch the current module.       use          Use anavailable module.       info         Getinformation about an available module.       search         Search for amodule by a specific text in its name or in its description.       previous              Sets the previously loaded moduleas the current module.       back                  Move back from the currentcontext.

会话命令菜单：

usage:sessions [-h] [-l] [-K] [-s] [-k] [-i] optional arguments:  -h  Show this help message.  -l  List all captured sessions.  -K  Remove all captured sessions.  -s  Search for sessions with a specifed type.  -k  Remove a specifed captured session by ID  -i  Interact with a captured session by ID.

任务命令菜单：

usage:jobs [-h] [-l] [-K] [-k] optional arguments:  -h  Show this help message.  -l  List all running jobs.  -K  Terminate all running jobs.  -k  Terminate jobs by job ID or module name

存在漏洞的Web应用程序和服务

目前，有很多知名的Web应用以及服务都会受到这种攻击向量的影响，下面给出的是部分受影响的应用：

聊天应用：WhatsApp、微信、Line、微博、QQ；

邮件服务：QQ邮箱（个人和企业）、Yandex Mail；

电子商务：阿里巴巴、Aliexpress、淘宝、天猫、1688.com、阿里妈妈、淘宝旅行；

网络支付：支付宝、Yandex Money、财付通；

Yandex服务：YandexPassport（YandexMail、Yandex Money、Yandex Maps、Yandex Videos等等）；

移动管理软件：AirDroid；

其他服务：MyDigiPass、Zapper & ZapperWordPress Login by QR Code插件、Trustly App、Yelophone、Alibaba Yunos。

以上就是如何进行二维码扫码登录克星QRLJacker攻击向量分析及演示，小编相信有部分知识点可能是我们日常工作会见到或用到的。希望你能通过这篇文章学到更多知识。更多详情敬请关注编程笔记行业资讯频道。

推荐阅读

python
Python程序安全运行的三个条件及预防措施

Python已成为全球最受欢迎的编程语言之一，然而Python程序的安全运行存在一定的风险。本文介绍了Python程序安全运行需要满足的三个条件，即系统路径上的每个条目都处于安全的位置、"主脚本"所在的目录始终位于系统路径中、若python命令使用-c和-m选项，调用程序的目录也必须是安全的。同时，文章还提出了一些预防措施，如避免将下载文件夹作为当前工作目录、使用pip所在路径而不是直接使用python命令等。对于初学Python的读者来说，这些内容将有所帮助。 ... [详细]

蜡笔小新 2023-12-09 10:20:23
python
基于dlib的人脸68特征点提取(眨眼张嘴检测)python版本

文章目录引言开发环境和库流程设计张嘴和闭眼的检测引言(1)利用Dlib官方训练好的模型“shape_predictor_68_face_landmarks.dat”进行68个点标定 ... [详细]

蜡笔小新 2023-12-12 13:27:42
python
31.项目部署

目录1一些概念1.1项目部署1.2WSGI1.3uWSGI1.4Nginx2安装环境与迁移项目2.1项目内容2.2项目配置2.2.1DEBUG2.2.2STAT ... [详细]

蜡笔小新 2023-12-12 12:15:41
python
Composer依赖管理的重要性及使用方法

本文介绍了Composer依赖管理的重要性及使用方法。对于现代语言而言，包管理器是标配，而Composer作为PHP的包管理器，解决了PEAR的问题，并且使用简单，方便提交自己的包。文章还提到了使用Composer能够避免各种include的问题，避免命名空间冲突，并且能够方便地安装升级扩展包。 ... [详细]

蜡笔小新 2023-12-11 17:06:18
python
微软宣布停止提供32位Windows 10，64位或成主流

微软宣布从今年5月开始停止向PC制造商提供32位Windows 10，意味着64位版本将成为主流。尽管Windows 10系统存在一些bug，但全球已有超过10亿台活跃设备在使用。微软表示，从Windows 10 2004版本开始，所有新的Windows 10系统都将要求使用64位版本，不再发布32位版本。这一变化不会影响使用较早版本Windows 10中的32位客户系统。微软仍然致力于在这些设备上提供支持。 ... [详细]

蜡笔小新 2023-12-11 10:03:31
python
Python工具安装教程及注意事项

本文介绍了在Windows系统下安装Python、setuptools、pip和virtualenv的步骤，以及安装过程中需要注意的事项。详细介绍了Python2.7.4和Python3.3.2的安装路径，以及如何使用easy_install安装setuptools。同时提醒用户在安装完setuptools后，需要继续安装pip，并注意不要将Python的目录添加到系统的环境变量中。最后，还介绍了通过下载ez_setup.py来安装setuptools的方法。 ... [详细]

蜡笔小新 2023-12-10 16:46:45
python
通过Anaconda安装tensorflow，并安装运行spyder编译器的完整教程

本文提供了一个完整的教程，介绍了如何通过Anaconda安装tensorflow，并安装运行spyder编译器。文章详细介绍了安装Anaconda、创建tensorflow环境、安装GPU版本tensorflow、安装和运行Spyder编译器以及安装OpenCV等步骤。该教程适用于Windows 8操作系统，并提供了相关的网址供参考。通过本教程，读者可以轻松地安装和配置tensorflow环境，以及运行spyder编译器进行开发。 ... [详细]

蜡笔小新 2023-12-09 09:46:32
python
Window10+anaconda+python3.5.4+ tensorflow1.5+ keras(GPU版本）安装教程

Window10+anaconda+python3.5.4+ tensorflow1.5+ keras(GPU版本）安装教程 ... [详细]

蜡笔小新 2023-10-17 21:10:23
python
安卓投屏到电脑使用scrcpy

scrcpy通过adb调试的方式来将手机屏幕投到电脑上，并可以通过电脑控制您的Android设备。它可以通过USB连接，也可以通过Wifi连接（类似于隔空投屏），而且不需要任何ro ... [详细]

蜡笔小新 2023-10-17 16:14:28
python
python怎么关闭红线提示_手把手教你安装Python开发环境

Python在window环境下安装图解1、下载最新版本Windows的Python开发64位安装包目前最新版本是Python-3.7.22、下载完成后，获取安装包& ... [详细]

蜡笔小新 2023-10-17 16:04:57
python
90后程序员的职业发展之路：从年薪3w到30w的经验分享

本文是一位90后程序员分享的职业发展经验，从年薪3w到30w的薪资增长过程。文章回顾了自己的青春时光，包括与朋友一起玩DOTA的回忆，并附上了一段纪念DOTA青春的视频链接。作者还提到了一些与程序员相关的名词和团队，如Pis、蛛丝马迹、B神、LGD、EHOME等。通过分享自己的经验，作者希望能够给其他程序员提供一些职业发展的思路和启示。 ... [详细]

蜡笔小新 2023-12-14 15:22:09
python
Alink回归预测的不完善问题及期待

本文讨论了Alink回归预测的不完善问题，指出目前主要针对Python做案例，对其他语言支持不足。同时介绍了pom.xml文件的基本结构和使用方法，以及Maven的相关知识。最后，对Alink回归预测的未来发展提出了期待。 ... [详细]

蜡笔小新 2023-12-14 14:25:33
search
Metasploit攻击渗透实践

本文介绍了Metasploit攻击渗透实践的内容和要求，包括主动攻击、针对浏览器和客户端的攻击，以及成功应用辅助模块的实践过程。其中涉及使用Hydra在不知道密码的情况下攻击metsploit2靶机获取密码，以及攻击浏览器中的tomcat服务的具体步骤。同时还讲解了爆破密码的方法和设置攻击目标主机的相关参数。 ... [详细]

蜡笔小新 2023-12-14 12:14:09
scala
WinPythonHadoop在Win10上安装教程

本文介绍了在Win10上安装WinPythonHadoop的详细步骤，包括安装Python环境、安装JDK8、安装pyspark、安装Hadoop和Spark、设置环境变量、下载winutils.exe等。同时提醒注意Hadoop版本与pyspark版本的一致性，并建议重启电脑以确保安装成功。 ... [详细]

蜡笔小新 2023-12-14 11:26:56
python
2022年的风口：你看不起的行业，真的很挣钱！

本文介绍了2022年的风口，探讨了一份稳定的副业收入对于普通人增加收入的重要性，以及如何抓住风口来实现赚钱的目标。文章指出，拼命工作并不一定能让人有钱，而是需要顺应时代的方向。 ... [详细]

蜡笔小新 2023-12-11 18:31:31

春370453095_241

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章