Burp Suite —— 验证码识别、切换IP

最新推荐文章于 2024-05-06 19:55:47 发布
最新推荐文章于 2024-05-06 19:55:47 发布
阅读量3k 收藏 3
点赞数
文章标签: web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hackzkaq/article/details/121947487
版权 
`搜索公众号:白帽子左一,领配套练手靶场,全套安全课程及工具`

验证码识别

前言
Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,其各个组件之间可灵活配合,可定制化程度极高,正可谓居家旅行杀人越货必备之神器。

但是当遇到各式各样的验证码,防火墙等场景,神器也无从下手。有幸 Burp Suite 提供了非常强大的开发接口,可根据需求自行强化。

快速开发
既然要敏捷开发,采用轻量级的脚本 python 来实现拓展最为快速灵活,也懒得去拖 swing 界面做交互,参数对应修改就行。

本次验证码识别用于 Intruder 模块,在脚本中实例化 IntruderPayloadGenerator 类以及其 getNextPayload 方法即可,具体流程如下 。

抓取验证码请求

验证码请求头
headers = '''

Host: ************

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.11; rv:69.0) Gecko/20100301 Firefox/62.0

Accept: image/webp,*/*

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip, deflate

Connection: close

Referer: http://ya.com/cms/fastadmin/public/lf2EomShPI.php/index/login

Cookie: PHPSESSID=vltk4df5fbn97vsf8mfjnobr71

'''

`# 验证码请求地址

captcha_url = "http://**********/cms/fastadmin/public/index.php?s=/captcha"

对接验证码识别引擎

可以使用深度学习来识别验证码,或者接入第三方通用平台。

本文为了简单就直接对接某个打码平台,参考平台文档,引入 api、设置对应的id、key 等参数即可 。

验证码 payload 生成

class IntruderPayloadGenerator(IIntruderPayloadGenerator):

    def __init__(self):

        self._payloadIndex = 0



    def hasMorePayloads(self):

        return True 



    def getNextPayload(self, baseValue):

        req = urllib2.Re
最低0.47元/天 解锁文章
zkzq
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
初步了解爆破(附Burp suite
small_whitehat的博客
02-08 437
简介爆破
Burpsuite插件 -- 伪造IP
KHOST的博客
08-05 4238
今天给大家介绍一款Burpsuite插件,burpFakeIP 一、下载地址 https://github.com/TheKingOfDuck/burpFakeIP 二、安装插件 1、解压到本地 2、打开burpsuite,选择Extender,Add 3、选择下载好python插件,选择下一步 4、安装成功 三、使用方法 1、伪造指定ip,右击抓到的数据包,选择fakeip,inputIP,输入想要用的ip地址,点击确定,自动添加 2、伪造本地...
Web攻防之业务安全实战指南】第4章 登录认证模块测试
qq_45196785的博客
09-03 159
暴力破解测试是指针对应用系统用户登录账号与密码进行的穷举测试,针对账号或密码进行逐一比较,直到找出正确的账号与密码。一般分为以下三种情况:·在已知账号的情况下,加载密码字典针对密码进行穷举测试;·在未知账号的情况下,加载账号字典,并结合密码字典进行穷举测试;·在未知账号和密码的情况下,利用账号字典和密码字典进行穷举测试。配置登录失败次数限制策略,如在同一用户尝试登录的情况下,5分钟内连续登录失败超过6次,则禁止此用户在3小时内登录系统。增加验证码,登录失败一次,验证码变换一次。4.1.3 修复建议。
全网最简单的 burp 验证码识别爆破_burp python的验证码识别插件(1)
最新发布
2401_84538185的博客
05-06 1802
别在网上瞎学了,我最近也做了一些资源的更新,只要你是我的粉丝,这期福利你都可拿走。我先来介绍一下这些东西怎么用,文末抱走。这是我花了几天的时间去把Python所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。最近我才对这些路线做了一下新的更新,知识体系更全面了。
Kali渗透测试之DVWA系列(四)——使用Burp Suite进行SQL Injection(Blind)(SQL盲注,包括盲注脚本)
weixin_45116657的博客
08-25 4555
目录: 一、SQL盲注 SQL盲注与SQL注入的区别; SQL盲注的过程; 二、实验环境 三、实验过程 基于布尔值的盲注; 基于时间的盲注; 一、SQL盲注简介 1、SQL盲注: 盲注:SQL Injection(Blind),即SQL盲注,目标只会回复是或不是,没有详细内容; 注入:可以查看详细的内容 2、手工盲注思路: 手工盲注的过程,就像你和机器人聊天一样,这个机器人知道的...
session利用的小思路
kali_Ma的博客
01-07 1460
session利用的小思路 前言 做题的时候经常考到session利用,常见的基本就两种,session文件包含和session反序列化,之前没有详细总结过,就写写吧。 session文件包含 php.ini session的相关配置 session.upload_progress.enabled = on //enabled=on表示upload_progress功能开始,也意味着当浏览器向服务器上传一个文件时,php将会把此次文件上传的详细信息(如上传时间、上传进度等)存储在session当中 ; s
一个用于伪造IP地址进行爆破的BurpSuite插件:BurpFakeIP
weixin_50464560的博客
09-19 1406
BurpFakeIP介绍 一个用于伪造ip地址进行爆破的BurpSuite插件,burpsuite伪造ip可用于突破waf及进行安全规则绕过等场景;昨天我们分享了《BurpSuite IP代理扩展,使用AWS API网关动态更改请求:IPRotate_Burp_Extension》有同学也发现和今天推荐这个有点类似,但却又截然不同。毕竟AWS在国内确实太小众了,今天推荐的BurpFakeIP 伪造IP ...
Burp suite图形验证码识别转发插件captcha-killer.0.1.2
01-25
Burp suite图形验证码插件 注:需要配合验证码识别接口可用,本插件仅提供转发功能,不提供验证码识别
146-Burp识别验证码暴破密码
09-08
Burp 识别验证码暴破密码 Burp Suite 介绍 Burp 是一个功能强大的 Web 应用程序安全测试工具,它可以帮助安全测试者和开发者来检测和修复 Web 应用程序中的漏洞。Burp Suite 由 PortSwigger 公司开发,提供了多种...
BurpSuite使用介绍(一)
02-21
BurpSuite是用于攻击web应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP消息,持久性,认证,代理,日志,警报的一个强大...
burpsuite小白教程。手把手教学 使用burpsuite拦截浏览器请求,修改请求参数,查看返回结果
06-09
Burpsuite是一款强大的网络安全工具,尤其在Web应用安全测试领域有着广泛的应用。它是一个集成的平台,包含了多种功能模块,如拦截HTTP代理、扫描器、入侵检测系统等,用于帮助安全专家进行渗透测试和应用程序安全...
BurpSuite2.1.06.zip
12-22
Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。 Burp Suite是由Java语言编写而成,而Java自身的跨平台性,使得软件的学习和使用...
BurpLoader安全监测调试工具包
09-20
BurpLoader安全监测调试工具包,用于模仿检测http请求,数据包截取。
对有验证码的后台网页进行爆破-captcha-killer-modified
sxdby的博客
03-22 2733
接着配置接口URL,填写为http://127.0.0.1:8888,在Reques template 中右击配置模板库为ddddocr(没有使用过工具的,这里在未设置模板库时应该是 无内容的)攻击目标url:http://xxxx/pikachu-master/vul/burteforce/bf_server.php(xxxx为自己的靶机地址,我的就是127.0.0.1)攻击目标的验证码图片接口的url:http://127.0.0.1/pikachu-master/inc/showvcode.php
Burpsuite验证码识别插件 “captcha-killer-modified“ 使用教程(详细)
yaoguangyang05的博客
02-16 1万+
Burpsuite验证码识别插件 “captcha-killer-modified“ 使用教程(详细)
web安全验证码识别-burp的captcha-killer-modified插件教程(基于百度接口)(总结一些坑)
2302_79590880的博客
12-31 3286
爆破中的验证码识别
burp实现rsa加密+图片验证码识别
qq_40685200的博客
04-01 1886
burp
全网最新、最详细的使用burpsuite验证码识别绕过爆破教程(2023最新)
热门推荐
qq1140037586的博客
12-27 1万+
最近一直在研究绕过验证码进行爆破的方法,在这里对自己这段时间以来的收获进行一下分享。在这里要分享的绕过验证码爆破的方法一共有2个,分为**免费版本**(如果验证码比较奇怪可能会有识别错误的情况)和**付费版本**(调用收费接口,所以很精准),下面针对两种不同的版本分别做分享
BurpSuite IP代理扩展(IPRotate_Burp_Extension)每次请求切换IP
我是一个有理想的程序员
06-01 2637
IPRotate_Burp_Extension 一个BurpSuite IP动态代理扩展,它使用AWS API网关在每个请求中更改您的IP。这有助于绕过不同类型的IP限制过滤策略,例如基于IP阻止的策略,基于IP的API速率限制或基于IP的WAF过滤保护等。 此扩展程序允许您轻松地跨多个区域启动API网关。然后,目标主机的所有BurpSuite流量都将通过API网关进行路由,这会导致每个请求的IP不同。(有可能回收IP,但这种情况非常低,你使用的区域越少,机会越少)。 UI 请求的外观示例 安装 htt
burpsuite ocr验证码识别
08-13
虽然 Burp Suite 本身并不直接提供 OCR(Optical Character Recognition,光学字符识别)功能,但您可以结合 Burp Suite 和 OCR 库来实现验证码识别。 下面是一种基本的流程: 1. 首先,使用 Burp Suite 拦截...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值