Burp Suite —— 验证码识别、切换IP

最新推荐文章于 2024-08-13 16:24:51 发布
最新推荐文章于 2024-08-13 16:24:51 发布
阅读量3k 收藏 3
点赞数
文章标签: web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hackzkaq/article/details/121947487
版权
本文详细介绍了如何使用Burp Suite结合Python脚本来实现验证码识别和IP切换的功能。首先,通过编写轻量级Python脚本对接验证码识别引擎,实现Intruder模块的自定义payload生成。然后,利用HTTP代理原理,通过动态修改HTTP请求来实现代理IP的切换,以满足渗透测试中的自动化需求。实战部分展示了这两个功能在实际后台系统中的应用。
摘要由CSDN通过智能技术生成 
`搜索公众号:白帽子左一,领配套练手靶场,全套安全课程及工具`

验证码识别

前言
Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,其各个组件之间可灵活配合,可定制化程度极高,正可谓居家旅行杀人越货必备之神器。

但是当遇到各式各样的验证码,防火墙等场景,神器也无从下手。有幸 Burp Suite 提供了非常强大的开发接口,可根据需求自行强化。

快速开发
既然要敏捷开发,采用轻量级的脚本 python 来实现拓展最为快速灵活,也懒得去拖 swing 界面做交互,参数对应修改就行。

本次验证码识别用于 Intruder 模块,在脚本中实例化 IntruderPayloadGenerator 类以及其 getNextPayload 方法即可,具体流程如下 。

抓取验证码请求

验证码请求头
headers = '''

Host: ************

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.11; rv:69.0) Gecko/20100301 Firefox/62.0

Accept: image/webp,*/*

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip, deflate

Connection: close

Referer: http://ya.com/cms/fastadmin/public/lf2EomShPI.php/index/login

Cookie: PHPSESSID=vltk4df5fbn97vsf8mfjnobr71

'''

`# 验证码请求地址

captcha_url = "http://**********/cms/fastadmin/public/index.php?s=/captcha"

对接验证码识别引擎

可以使用深度学习来识别验证码,或者接入第三方通用平台。

本文为了简单就直接对接某个打码平台,参考平台文档,引入 api、设置对应的id、key 等参数即可 。

验证码 payload 生成

class IntruderPayloadGenerator(IIntruderPayloadGenerator):

    def __init__(self):

        self._payloadIndex = 0



    def hasMorePayloads(self):

        return True 



    def getNextPayload(self
最低0.47元/天 解锁文章
zkzq
关注
浅谈暴力破解及验证码安全
L_lemo004的博客
09-22 3682
文章目录一、暴力破解及验证码安全注意事项二、C/S架构暴力猜解三、B/S架构暴力猜解四、Hydra安装及使用安装参数说明各种用法实例五、防范暴力猜解六、验证码安全工作原理存在的问题图片验证码的生成可能存在如下问题在验证码的程序实现流程方面可能存在如下问题对抗现状验证码未来可能的主要形式操作验证码安全0x01 验证码可重用0x02 验证码可识别0x03 客户端生成/显示/校验0x04 空验证码绕过0x05 验证码数量有限0x06 是否校验可控0x07 超过次数才开启验证码0x08 验证码可预测身份验证码安全0
Burp suite图形验证码识别转发插件captcha-killer.0.1.2
01-25
Burp suite图形验证码插件 注:需要配合验证码识别接口可用,本插件仅提供转发功能,不提供验证码识别
使用burp插件实现图片验证码的识别
HRay's blog
03-24 8370
早上看到朋友圈有人转了一个新的识别图片验证码的burp插件,项目主页https://github.com/f0ng/captcha-killer-modified 正好之前对类似插件的使用效果不理想,于是使用了一下,整体来说,captcha-killer-modified与captcha-killer相同,都是结合第三方的ocr识别接口来识别图片验证码,但是这个项目里提到了一个免费的ocr识别项目ddddocr(项目地址https://github.com/sml2h3/ddddocr),确实好用,本文记
【渗透测试-验证码的爆破与绕过】
最新发布
08-13 673
服务端随机生成内容为数字、字母或汉字的图片,通过验证输入的结果是否正确来检测是否机器。一般来说机器要识别起来比较困难,但今天由于AI 的发展,识别起来容易很多。客户端发起请求->服务端响应并创建一个新的SessionID同时生成随机验证码,将验证码和SessionID一并返回给客户端->客户端提交验证码连同SessionID给服务端->服务端验证验证码同时销毁当前会话,返回给客户端结果。
burpsuite验证码爆破教程_burpsuite 验证码,2024年最新面试看这个就够了
2401_84240554的博客
04-13 2703
7、第7步就是自己本地使用验证码识别项目进行无限制识别,识别成功率85%左右,但是好在没限制,可以无限使用POST /reg HTTP/1.1 Host: 127.0.0.1:8888 Connection: close Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_5) AppleWebKit/537.36 (KHTML, like
burpsuit插件captcha-killer-modified验证码识别工具安装及使用
m0_61025358的博客
04-18 1903
captcha-killer的修改版,支持关键词识别base64编码的图片,添加免费ocr库,用于验证码爆破,适配新版Burpsuite
burpsuite安装插件captcha-killer识别验证码
ANOrange的博客
05-24 6045
安装和初步使用captcha-killer插件进行验证码识别
暴力破解攻击工具汇总——字典很关键,肉鸡也关键
weixin_30296405的博客
03-30 5003
lasercrack是一款爆力破解工具,ruby写的,现如今市面上常见的暴力工具如hydra,medusa都有着不错的破解效率。 破解RDP的软件也有很多,比如ncrack和Fast RDP Brute。 如果网页没有设置登录验证码,则很可能成为暴力破解工具攻击的目标,http://www.freebuf.com/column/169124.html,Nodejs暴力破解实践 web 登...
python高级—— 从趟过的坑中聊聊爬虫、反爬、反反爬,附送一套高级爬虫试题
09-30 6736
前言: 时隔数月,我终于又更新博客了,然而,在这期间的粉丝数也就跟着我停更博客而涨停了,唉 是的,我改了博客名,不知道为什么要改,就感觉现在这个名字看起来要洋气一点。 那么最近到底咋不更新博客了呢?说起原因那就多了,最主要的还是没时间了,是真的没时间,前面的那些系列博客都还没填坑完毕的(后续都会填上的) 最近有点空余就一直在开发我的项目,最近做了两个项目: IPproxy,看名字就知道啦...
实训周笔记
weixin_67348669的博客
03-22 6082
主机信息收集技术—基础知识: 主要收集目标主机的相关信息,主要包括端口、服务、漏洞等信息。信息收集手段多样,可借助工具也多种多样。 端口扫描:Nmap 主机信息收集技术—Nmap: namp 192.168.1.1 namp -A –T4 -v 192.168.1.1 -A 开启操作系统识别和版本识别功能 -T 0-6档,设置扫描的快慢,0最慢,6最快; 级别越高,对网络带宽要求越高,另外扫描太快,容易被安全设备发现; 一般选择T4 -v 显示信息的级别,...
使用burp-suite的intruder模块破解基于Cookies验证码的表单
11-25
使用burp-suite的intruder模块破解基于Cookies验证码的表单
Brup+Captcha-killer+ddddocr实现验证码识别
qq_46343633的博客
12-19 3863
实验前准备:Burp(2020以后的版本jdk11)captcha-killer(burp插件针对不同版本的burp存在不同的版本)ddddocr(开源验证码识别接口最新版已支持python3.10版本)项目地址:https://github.com/f0ng/captcha-killer-modified。
学了那么久Python还什么都做不了,我觉得你该试试这个方法了
龙叔的博客
11-08 1万+
答应我,别再做无用功了
Burpsuite插件 reCAPTCHA识别验证码
baynk的博客
04-15 6535
0x00 暴力猜解 希望不带pojie就不会被和谐。。。 burpsuite都用的好久了,这个intruder模块各种玩法都玩过了,比较单跑密码类的,用户/密码一起跑的,甚至加上token后利用macro抓取token替换的方式都玩过了,然后听一哥们说,可以拿burpsuite的插件绕验证码进行猜解,还是见识少了,会开发的人就是牛逼,想干啥就干啥,等考完试了一定好好学编程,当年考什么IE,哈哈。 ...
BurpSuite实现图形验证码识别
qq_41945550的博客
05-08 1382
Burp Suite+图形验证码识别工具:百度ocr识别的使用:打码平台:导入Burp中 工具: Burp Suite + Captcha-killer burp 验证码识别插件 百度ocr识别,打码平台识别 百度ocr识别的使用: 注册百度账号并进入文字识别 创建完成可以查看生产的key 获取参数 access_token :(构造请求ocr平台接口参数使用) 打码平台: 请求模板: POST /base64 http/1.1 Host: api.ttshitu.com Upgrade-
全网最简单的 burp 验证码识别爆破_burp 验证码插件,学网络安全的入门基础知识
2301_82242296的博客
04-16 416
【代码】全网最简单的 burp 验证码识别爆破_burp 验证码插件,学网络安全的入门基础知识。
Burpsuite验证码识别插件 “captcha-killer-modified“ 使用教程(详细)
健帅如风的博客
02-16 1万+
Burpsuite验证码识别插件 “captcha-killer-modified“ 使用教程(详细)
全网最新、最详细的使用burpsuite验证码识别绕过爆破教程(2023最新)
热门推荐
qq1140037586的博客
12-27 1万+
最近一直在研究绕过验证码进行爆破的方法,在这里对自己这段时间以来的收获进行一下分享。在这里要分享的绕过验证码爆破的方法一共有2个,分为**免费版本**(如果验证码比较奇怪可能会有识别错误的情况)和**付费版本**(调用收费接口,所以很精准),下面针对两种不同的版本分别做分享
burpsuite ocr验证码识别
08-13
虽然 Burp Suite 本身并不直接提供 OCR(Optical Character Recognition,光学字符识别)功能,但您可以结合 Burp Suite 和 OCR 库来实现验证码识别。 下面是一种基本的流程: 1. 首先,使用 Burp Suite 拦截...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值