验证码识别工具——Pkav HTTP Fuzzer

最新推荐文章于 2024-03-30 09:56:13 发布
最新推荐文章于 2024-03-30 09:56:13 发布
阅读量5.7k 收藏 8
点赞数 1
分类专栏: 工具 文章标签: 乌鸦安全 验证码 自动化 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdnmmd/article/details/122721035
版权

 微信公众号:乌鸦安全

 

扫取二维码获取更多信息!

01 背景知识

在很多时候,当对搜集的Web后台地址等进行用户名和密码的暴力破解时,大部分后台都有验证码进行防护,对于一般的Burpsuite工具是无法直接识别验证码的,除非安装了识别验证码的插件,这次来介绍一款经典验证码暴力破解工具:Pkav HTTP Fuzzer

Pkav HTTP Fuzzer是一款非常优秀的验证码识别工具。

注:Pkav HTTP Fuzzer针对较清晰的数字验证码效果比较好

本次使用的是:Pkav HTTP Fuzzer 1.0.2.1

02 CMS环境搭建

CMS搭建环境:

windows7

phpstudy   php版本5.2.17

phpwms1.1.2GBK cms 源代码

在url中打开地址即可安装

http://10.211.55.9/phpwms1.1.2GBK/install/

搭建之后即可进行入后台和前台页面

03  自动识别

这里使用右键在新界面打开这个验证码

http://10.211.55.9/phpwms1.1.2GBK/include/chkcode.inc.php

使用pkavhttpfuzzer这个工具来进行识别测试

首先还是需要使用bp抓一个包

将内容传到pkavhttpfuzzer中去,分别添加标记

到验证码识别模块,对识别范围和字符进行自定义

当输入验证码正确,但是密码或账户信息错误的时候会返回

当输入验证码错误的时候会返回

因此在软件里面如下设置:

  • 设置无条件跟踪重定向,长度固定为4位

  • 匹配规则中在正则表达式输入:用户名或密码不正确

在重试规则中添加  验证码错误

回到变体设置模块,添加一个外部字典

直接在发包器进行测试(因为我本地测试的时候,返回长度总是0,所以这里换了一个进行测试)

视频版本教程:

https://space.bilibili.com/29903122

也可以在B站搜索:crowsec

05  资料下载

在乌鸦安全公众号后台回复:验证码识别   可下载CMS和Pkav HTTP Fuzzer 1.0.2.1工具。

微信公众号:乌鸦安全

 

扫取二维码获取更多信息!

乌鸦安全
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pkav验证码爆破工具
05-14
pkav验证码爆破工具
PKAV HTTP Fuzzer
05-03
PKAV HTTP Fuzzer
打破验证码:一款开源的验证码破解工具
最新发布
gitblog_00053的博客
03-30 367
打破验证码:一款开源的验证码破解工具 项目地址:https://gitcode.com/nanfengpo/crack_captcha 在网络安全自动化测试领域,有时我们需要与验证码打交道。无论是为了自动化测试Web应用程序,还是为了研究验证码安全性,nanfengpo/crack_captcha 这个开源项目提供了一种实用的方法,帮助开发者和研究人员解析各种类型的验证码。 项目简介 cra...
pkavhttpfuzzer
10-11
适用于Windows系统,一款强大的自带验证码识别的暴力破解安全测试工具,有的时候遇到验证码爆破时,这款软件就减轻了很大的工作量!业界神器,小东翻了好久才找到的,分享给大家了~
PKAV HTTP Fuzzer 1.5.6
09-28
*2016.3.21 1、Fuzz模块bug修复及性能优化。(感谢孤狼、NoGod等网友提交的bug和反馈!) 2、将软件临时文件清理修改为软件退出时清理,增强用户体验。 *2016.1.20 1、升级自带的验证码识别引擎。 2、优化部分模块。 *2015.12.2 1、修复两处bug,增强和优化部分功能。 *2015.10.30 1、增加对次世代验证码识别引擎2.6.0.1识别库的支持。 *2015.10.21 1、修复已知bug,发布使用帮助手册。 2、优化HTTP代理服务器功能。 3、增加注销会话功能,解决暴力破解测试时,某些系统只能成功暴破一个用户的问题。 4、增加“数字自增长模式”补零功能,勾选补零后,1-100的格式会修正为001、002....100。 5、增强“变体叠加模式”,允许叠加字符串。 6、变体处理规则增加Unix时间戳转换。 *2015.7.24 1、修复已知bug,增强和优化部分功能。 2、增强验证码识别功能,支持四则运算类型的验证码。 *2015.6.25 1、修复目前已知的所有bug。 2、加入了X-Forwarded-For,Client-IP的指定IP段随机伪造。 3、验证码识别支持自定义HTTP请求头部,再也不怕要Referer才能获取验证码等情况了。 4、可以添加批量代理服务器,Fuzz时轮询使用HTTP代理。 5、自动识别次世代验证码识别库版本,自动更换引擎。 *2015.03.23 修复SSL的bug。 *2015.03.22 更新次时代验证码识别引擎动态链接库 *2015.03.19 1、修复重新设置变体后,“变体条件丢弃”功能“应用于变体”处无法实时更新的bug。感谢1c3z@Wooyun提交此bug。 2、修复GET请求中验证码未替换的bug。感谢-_-!orz@Wooyun提交此bug。更多工具请到http://caidaome.com/
Pkav HTTP Fuzzer教程
热门推荐
夏日 の blog
02-11 1万+
以Hacking Lab的验证码题为例 题目 对Pkav HTTP Fuzzer配置 1.标记爆破的位置,图形验证码,选择字典 2.设置验证码范围 3.添加验证码地址,进行相关设置 tips:下方可进行识别测试 4.本题需要设置验证码识别模式为单线程 点击下方重放选项选择单线程 4.发包器页面启动爆破 根据长度判断是否成功(点击长度即可自动排序) ...
Pkav HTTP Fuzzer 1.5.5.zip_-baijiahao_PKav HTTP Fuzzer_fuzzer字典_
07-14
a,次时代验证码识别引擎 b,非图片型验证码 c,亦思验证码识别引擎 d,自带识别引擎
Pkav-HTTP-Fuzzer图形验证码识别教程源码包.zip
12-31
Pkav-HTTP-Fuzzer图形验证码识别教程源码包
PKAV HTTP Fuzzer 1.5.6.zip
06-22
PKAV HTTP Fuzzer/PKAV HTTP Fuzzer/PKAV HTTP Fuzzer/PKAV HTTP Fuzzer 互联网公开资源,不知道有没有后门之类的
PKAV HTTP Fuzzer 1.5.6.rar
01-04
含有验证码的web爆破工具以及使用说明
验证码生成识别工具
08-30
验证码生成识别工具识别,可用于密码爆破或者破解邮箱密码或者,也可快速多帐
通用验证码识别工具套件(简单验证码)
02-23
对一些简单验证码的识别工具 可以自定义验证码配置以达到通用的目的 使用者可以使用提供的dll或者命令行工具调用识别 从而实现一些自己的功能 文件包含全套工具、关键代码、使用说明文档
PKAV-HTTP-Fuzzer-1.5.6.zip
01-30
一款无视验证码得渗透测试工具
命令行图片验证码识别工具
08-10
命令行图片验证码识别工具
验证码漏洞-工具pkavhttpfuzzer
sinat_30599967的博客
01-02 3286
一、环境准备 1.搭环境wms 将phpwms1.1.2GBK文件放在phpstady下,点击安装创建下一步即可(phpstady版本为5.2.17) 2.拿到验证码的请求就接口 3.通过burpsuite抓包登陆请求 二、使用pkavhttpfuzzer 1.使用管理员身份打开 2.在目标数据下放入登陆接口,将密码添加标记,验证码添加验证码标记 3.在图片性验证码识别页面,输入验证码加载的接口,可点击识别测试进行测试 4.1重放选项页面,选择302重定向 4.2匹配规则和重试规则点击添加 5.变体设置,
Pkav HTTP Fuzzer识别验证码爆破
发哥微课堂
12-11 6006
介绍 Pkav HTTP Fuzzer这个可以识别验证码,用来进行web方面的爆破,现在看的话基本用的很少,因为我试的时候只能识别没有干扰元素的验证码,带干扰元素的就不行了,现在就连干扰元素的验证码也不多了,小站可能还有,大部分的验证码都是图片转正、图片拖到合适的位置、点相应的字、选择相应的物件等等。但这里还是记录下pkav http fuzzer的使用,简单的了解下。 使用 打开pkav ...
验证码识别工具一键快速识别
2301_78146980的博客
06-02 60
随着互联网的不断发展和应用程序的普及,许多网站和应用程序采用图像验证码技术来保证其安全性和防止机器人或自动程序的攻击。但是,手动识别验证码需要耗费大量的时间和精力,并且可能存在误识别的风险。因此,需要一种高效准确的图像识别技术来解决这一问题。这款工具提供的OCR识别采用最先进的图像识别技术,可以准确快速地自动识别各种类型的图像验证码,从而大大减少了手动识别的工作量。无论是处理少量还是大量的验证码,这款工具都能够快速准确地完成识别任务。百度搜索:套套图像识别。
pkav http fuzzer
08-30
PKAV HTTP Fuzzer是一款用于测试Web应用程序和API的工具。它的主要功能是通过模糊测试输入参数,来发现潜在的安全漏洞和错误。 PKAV HTTP Fuzzer使用了多种技术和策略来发送恶意请求,并观察目标应用程序的响应。它可以根据用户自定义的参数范围,生成大量不同类型的测试数据,如随机字符串、数字、特殊字符等。这些数据将被注入到HTTP请求的各个参数中,以便探测目标应用程序的漏洞。 该工具可以测试各种不同的HTTP请求方法,如GET、POST、PUT、PATCH和DELETE。此外,它还支持自定义请求标头、Cookie和请求体。通过发送大量的测试请求,并观察应用程序的响应,PKAV HTTP Fuzzer可以发现一些常见的漏洞,如SQL注入、XSS(跨站脚本)攻击、远程代码执行等。 PKAV HTTP Fuzzer还具有自动化的功能,它可以根据已知的漏洞签名和规则,自动发现和报告漏洞。这样,测试人员可以更快地定位和识别潜在的安全风险。 总而言之,PKAV HTTP Fuzzer是一款功能强大的工具,可帮助安全测试人员发现Web应用程序和API中的安全漏洞和错误。它通过模糊测试输入参数,并观察应用程序的响应,识别潜在的安全问题。它还具有自动化功能,可以更快地发现和报告漏洞。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值