freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

利用QRLJacking工具获取Whatsapp帐号权限
2018-04-06 08:00:30

*本文作者:艾登——皮尔斯,本文属FreeBuf 原创奖励计划,未经许可禁止转载。

PS:本文仅用作技术讨论及分享,严禁用于非法用途,违者后果自负。

前言

这篇文章将会教你如何用 QRLJacking 去获取别人 Whatsapp 帐号的权限,这种攻击是交互式,需要受害者去扫描你搭建好的钓鱼网站里面的恶意二维码,或者你通过钓鱼邮件等社会工程学手段让诱导受害者去扫描你的恶意二维码。

Freebuf 之前有关于 QRLJacking 相关报道,传送门如下:

QRLJacking:如何劫持快速登陆时使用的二维码

微信Netting-QRLJacking分析利用-扫我二维码获取你的账号权限

工具:

Kali Linux 64 Bit 2018.1

通过QRLJacking获取Whatsapp帐号权限


QRLJacking

通过QRLJacking获取Whatsapp帐号权限

教程开始:

1.安装libncurses5-dev

apt-get install libncurses5-dev

通过QRLJacking获取Whatsapp帐号权限

2.下载QRLJacking

git clone https://github.com/OWASP/QRLJacking

通过QRLJacking获取Whatsapp帐号权限

3.切换到QRLJacking/QrlJacking-Framework目录

cd QRLJacking/QrlJacking-Framework

通过QRLJacking获取Whatsapp帐号权限

4.安装requirements.txt文件

pip install -r requirements.txt

通过QRLJacking获取Whatsapp帐号权限

5.运行QRLJacking

python QRLJacker.py

通过QRLJacking获取Whatsapp帐号权限

6.选择Chat Applications-->WhatsApp-->8000(端口可以任意)然后回车

通过QRLJacking获取Whatsapp帐号权限

通过QRLJacking获取Whatsapp帐号权限

7.这个时候在浏览器打开IP:8000,我这里的是http://192.168.221.128:8000/

通过QRLJacking获取Whatsapp帐号权限

8.攻击者只需要修改一下右侧的网页(模仿成其他的网站登录页面类似于钓鱼网站)再诱导受害者扫描攻击者钓鱼网站上面的二维码,当受害者没有仔细辨认就进行扫描二维码登录,攻击者就可以马上获取到受害者的Whatsapp帐号的管理权限

通过QRLJacking获取Whatsapp帐号权限

QRLJacking演示视频(提取码e3d5):https://pan.baidu.com/s/1dbj2Ovnuw6PL_-W7NUwcdQ

小结:

虽然相比于Whatsapp国内的QQ微信支付宝等即时通讯工具通过二维码扫描登录的都会弹出一个登录确认会比较安全,但是我们还是需要提高个人的网络安全意识做到防范于未然,不要乱扫来历不明的二维码,谨防自己相关帐号被控制造成信息泄漏。

*本文作者:艾登——皮尔斯,本文属FreeBuf 原创奖励计划,未经许可禁止转载。

# whatsapp # QRLJacking
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者