利用QRLJacking工具获取Whatsapp帐号权限

这篇文章将会教你如何用 QRLJacking 去获取别人 Whatsapp 帐号的权限，这种攻击是交互式，需要受害者去扫描你搭建好的钓鱼网站里面的恶意二维码，或者你通过钓鱼邮件等社会工程学手段让诱导受害者去扫描你的恶意二维码。

Freebuf 之前有关于 QRLJacking 相关报道，传送门如下：

QRLJacking：如何劫持快速登陆时使用的二维码

微信Netting-QRLJacking分析利用-扫我二维码获取你的账号权限

工具：

Kali Linux 64 Bit 2018.1

QRLJacking

教程开始:

1.安装libncurses5-dev

apt-get install libncurses5-dev

2.下载QRLJacking

git clone https://github.com/OWASP/QRLJacking

3.切换到QRLJacking/QrlJacking-Framework目录

cd QRLJacking/QrlJacking-Framework

4.安装requirements.txt文件

pip install -r requirements.txt

5.运行QRLJacking

python QRLJacker.py

6.选择Chat Applications–>WhatsApp–>8000(端口可以任意)然后回车

7.这个时候在浏览器打开IP:8000，我这里的是:8000/

8.攻击者只需要修改一下右侧的网页（模仿成其他的网站登录页面类似于钓鱼网站）再诱导受害者扫描攻击者钓鱼网站上面的二维码，当受害者没有仔细辨认就进行扫描二维码登录，攻击者就可以马上获取到受害者的Whatsapp帐号的管理权限