图像验证码绕过

最新推荐文章于 2024-05-23 18:00:00 发布
最新推荐文章于 2024-05-23 18:00:00 发布
阅读量672 收藏 3
点赞数 2
文章标签: python 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luoshu88/article/details/132627461
版权

前沿

最近一直在研究绕过验证码进行爆破的方法,在这里对自己这段时间以来的收获进行一下分享。在这里要分享的绕过验证码爆破的方法一共有2个,分为免费版本(如果验证码比较奇怪可能会有识别错误的情况)和付费版本(调用收费接口,所以很精准),下面针对免费的版本做分享。

插件:captcha-killer-modified

步骤概述

  1. 下载captcha-killer-modified.jar包
  2. burp安装captcha-killer-modified.jar包
  3. 搭建验证码识别服务(下载安装ddddocr)
  4. 启动验证码识别接口(codereg.py)
  5. 配置参数进行使用

下载captcha-killer-modified.jar包

打开项目地址,点击右侧releases进入下载最新版本的jar包,我选择的是0.21-jdk11版,也可以直接点击下边地址下载(使用的burp的jdk版本是jdk16,win11操作系统)。

https://github.com/f0ng/captcha-killer-modified/releases/download/0.21-beta/captcha-killer-modified-0.21-beta-jdk11.jar

下载python脚本源码

也可以直接点击下方地址下载。

https://github.com/f0ng/captcha-killer-modified/blob/main/codereg.py

下载python脚本即可,即codereg.py,需准备python3环境。

burp安装captcha-killer-modified.jar包

下载插件文件后,启动Burpsuite,点击Extensions模块,在Burp Extensions一栏点击Add,选择刚下好的jar包。并点击下一步完成安装

安装ddddocr服务,并配置接口

验证码识别接口用到的是Python库中的ddddocr,Web服务用 到的是aiohttp。 因此我们需要使用到Python环境,本次教程中使用的版本为 Python3.

执行命令:

pip install -i http://mirrors.aliyun.com/pypi/simple/

也可以单独安装ddddocr

Pip install ddddorc

我选择的是第二种,如果网上慢的话,弄个vpn即可。

然后安装其他包

然后运行codereg.py脚本。

成功运行后的结果。

实验

实例:以pikachu靶场为目标

鼠标放到图片位置,复制图片的链接,新建窗口打开;

访问攻击目标的验证码图片接口的url:http://127.0.0.1/pikachu-master/inc/showvcode.php

然后使用burp抓包,然后右键点击扩展:

然后在数据包中对url进行修改:

此处改为验证码的链接:/pikachu/inc/showvcode.php

然后点击获取,如果成功显示验证码图片则成功。

接着配置接口URL,填写为http://127.0.0.1:8888,在Reques template 中右击配置模板库为ddddocr(没有使用过工具的,这里在未设置模板库时应该是 无内容的)

然后修改coderge.py脚本中的内容,修改要识别的验证码位数,

修改之后运行该脚本,如下情况表示运行成功,成功创建http接口。

之后点击burp中的识别;成功识别,且python脚本有输出。

之后将登录数据包发送到攻击模块。

在爆破模块中:clear所有参数,在选择password、vcode的参数进行add

然后攻击类型选择‘集束炸弹’

然后进入有效载荷模块,payload1选择简单列表,然后载入密码字典。

Payload2选择‘通过扩展生成’,之后选择生成器。

进入资源池设置攻击请求数。

然后点击‘开始攻击’。

让burp自己跑一阵之后在看结果,然后一般长度最长且跟其余不一样的表示登录成功。

用户名为admin,密码为123456,

在pikachu中登录,显示登录成功

自此,实验成功!!!

luoshu88
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
chatgpt赋能pythonPython爬虫绕过验证码的技巧及实现方法
tulingtest的博客
06-23 1874
验证码是一种用于确认用户是否是人类的技术。它由各种形式的数字、字母、符号组合而成,要求用户识别并输入到相应的输入框中。当爬虫脚本遇到验证码时,常常会被阻挡在外无法继续爬取目标网站的数据。因此,破解验证码一直是爬虫技术开发中比较困难的部分。本文由chatgpt生成,文章没有在chatgpt生成的基础上进行任何的修改。以上只是chatgpt能力的冰山一角。作为通用的Aigc大模型,只是展现它原本的实力。对于颠覆工作方式的ChatGPT,应该选择拥抱而不是抗拒,未来属于“会用”AI的人。
验证码识别技术资料收集
06-15
本资料集包含了多种验证码识别的思路和技术,包括图像处理、机器学习以及光学字符识别(OCR)等方法。下面将详细探讨这些知识点。 首先,验证码的识别通常涉及图像预处理步骤,例如WebGame.7z可能包含关于网络游戏...
验证码绕过(对验证码绕过的理解-----burpsuite)
gl620321的博客
07-06 7262
**Pikachu是一个带有漏洞的Web应用系统, **在这里包含了常见的web安全漏洞。通过一些资料认识这个练习的靶机平台。练习需要的条件是自己首先在电脑上下载并安装相关的工具。Burp suit、Phpstudy(利用火狐或者谷歌等浏览器访问pikachu的网址127.0.0.1),fire proxy omrga插件。Pikachu目前的漏洞类型有16种类型。 Burte Force(暴力破...
记一次验证码漏洞挖掘及验证码漏洞原理和危害
weixin_63560942的博客
03-17 1147
验证码是我们生活中经常遇到的东西我们注册账号,需要手机验证码,提交留言等需要图形验证码,那么我们就这两类生活中最常见的验证码进行讨论,看看有什么方法可以绕过验证码验证。验证码漏洞有一定危害,恶意攻击者可以用这个漏洞登录他人账号,获得用户权限,再用逻辑越权或者sql注入等手段获得该网站高权限进行恶意攻击,也可以将他人账户的各种资产搞得一团糟。希望大家学习后不用用于不法用途,共同维护网络安全。
验证码识别插件-captcha-killer
最新发布
zkaqlaoniao的博客
05-23 745
总的来说,它是个用Java写的插件,可以无缝衔接于burp.但是他只是一个调用接口,并不进行识别的操作,真正进行验证码识别处理的是两个个用Python脚本(codereg.py)调用的两个接口(ddddocr和aiohttp), 稍后我会进行简明的介绍captcha-killer设计理念是只专注做好对各种验证码识别技术接口的调用, 说具体点就是burp通过这一个插件,就可以适配各种验证码识别接口,无需重复编写调用代码.
软件测试|一文教你绕过头疼的图形验证码
Tester_muller的博客
03-08 1951
在我们的日常测试工作中,验证码绝对是很让我们头疼的一个东西,图形验证码,滑块验证码等场景阻碍着我们自动化测试的执行。那么,我们一直说的万能的Python,能不能帮我们解决让我们无比头疼的验证码问题呢?答案是肯定的,可以。下面我们就介绍一下Python的简单实用的识别验证码的库 ddddocr ,这个库简称带带弟弟ocr。本文主要介绍了使用ddddocr进行验证码识别的方法,我们识别了纯数字、纯字母、字母数字混合、滑块验证码以及汉字识别的方法,希望能够帮助大家更好地完成自动化测试的工作。更多技术文章。
burpsuite验证码爆破教程
Javachichi的博客
04-08 3541
6、填写验证码识别接口,这里有百度的可以用,但是有次数限制,需要修改为自己的token,不推荐,但是如果想使用,只需要在接口的大框框里右键--模板库--百度,点击,就会自动填充百度ocr的模板。此时需要观察我们intruder页面的数据包的cookie是否和我们验证码插件所在页面的数据包的cookie一样,需要以插件页面的cookie为准。3、添加变量,对要爆破的地方和验证码的地方添加变量,我这里假设爆破密码,所以需要对密码所在的值和验证码的值添加变量。工欲善其事必先利其器。
业务逻辑攻防-验证码安全篇&接口滥用&识别插件&复用绕过&宏命令填入&滑块类
siu~
01-13 600
知识点: 1、验证码简单机制-验证码过于简单可爆破 2、验证码重复使用-验证码验证机制可绕过 3、验证码智能识别-验证码图形码被可识别 4、验证码接口调用-验证码触发接口可枚举
burpsuite+captcha-killer插件识别图片验证码进行爆破
热门推荐
02-17 1万+
一、插件简介 captcha-killer要解决的问题是让burp能用上各种验证码识别技术! 注意: 插件目前针对的图片型验证码,其他类型目前不支持。 captcha-killer本身无法识别验证码,它专注于对各种验证码识别接口的调用 二、下载地址: burp2020前使用: https://github.com/c0ny1/captcha-killer/tree/0.1.2 burp2020后的版本使用: https://github.com/Ta0ing/captcha-killer
python绕过登录爬虫_讲讲Python爬虫绕过登录的小技巧
weixin_39712821的博客
12-02 391
【这是Python知识圈的第89篇原创】阅读文本大概需要 5 分钟。前言很多时候我们做 Python 爬虫时或者自动化测试时需要用到 selenium 库,我们经常会卡在登录的时候,登录验证码是最头疼的事情,特别是如今的文字验证码和图形验证码。文字和图形验证码还加了干扰线,本文就来讲讲怎么绕过登录页面。登录页面的验证,比如以下的图形验证码。还有我们基本都看过的 12306 的图形验证码绕过登录方...
密码爆破---绕过验证码进行登录爆破
04-14
1. 图像验证码:最常见的一种验证码,使用图像来显示随机生成的字符。 2. 音频验证码:使用音频来播放随机生成的字符,用户需要听音频并输入相应的字符。 3. 算术验证码:使用简单的算术题来验证用户的身份。 ...
一些字符图片验证码破解的方法
09-12
个人总结验证码破解方法,用tensorflow在gpu上实现验证码破解,破解了一家网站的具有像素化数字大小写字母字符、斑点背景噪声验证码,初次准确率达50%。
python 自动填写验证码 获取亚马逊商品会员活动记录
01-16
在处理动态验证码或基于行为的验证码时,可能需要用到Selenium这样的浏览器自动化工具,它能够模拟用户行为,如点击、滚动和输入,以绕过验证码。 亚马逊的商品会员活动记录通常存储在网页的HTML代码中,或者通过...
bot-anti-captcha:可以绕过验证码PHP机器人
05-24
4. **HTML**:可能暗示该库能处理与HTML相关的验证码,比如基于网页的图像验证码。 在【压缩包子文件的文件名称列表】中,“bot-anti-captcha-master”可能表示这是一个项目的主分支或版本,包含源代码和其他相关...
Python解析最简单的验证码
12-25
其中有一个模块是用来登陆的,登陆的时候需要输入验证码,不过后来发现了直接可以绕过验证码直接登陆的bug。不过这是另外的话题,开始的时候我并没有发现这个隐藏起来的秘密,所以我就写了这个python代码段用来实现...
暴力破解(验证码绕过
rnn0921的博客
07-25 5581
暴力破解--验证码绕过 on client:正确的应该是,后端生成验证码,传到前端时是图片的形式,(而不是以字符串的形式)用户在前端输入验证码,与后端的验证码值做对比。如果想要爆破的话,在每次请求前要把上一次请求的响应包获取到,把其中的token值取出来,token采用递归payload,把上次请求的token值作为本次请求的token值,然后再进行发送,进入options选项,从响应中提取选项,fetch response,在响应包中选中token值,然后提交token,即可运行。
验证码绕过、密码找回漏洞
qq_58000413的博客
09-30 1030
默认情况下:cookie是真的随机值,你随便写写什么都行,但要符合cookie的位数。cookie代表你的身份 => 它绑定了session。session会话 => 存在服务器上的。2.逻辑绕过:开发写这个验证码校验的时候逻辑产生了问题。抓包,数据包里面根根没有验证码的传参。内网系统、纯ip站点、校验服务有问题。在请求传参中有个空值验证码的参数。验证码:一种区分用户是计算机还是人的全自动程序。看传参中出现几次验证码中的值。验证码绕过、密码找回漏洞 逻辑漏洞。将验证码的传参参数删掉。
图片验证码破解
欢迎来到谷雨飞鱼的博客
10-19 4667
2.8图片验证码破解 在测试web平台时,难以避免的就是登录,登录的时候就会需要输入验证码!有的是图型验证码有的是滑动验证码,那么在自动化中如何破解验证码?这里只介绍简单的图片验证码。 一般来说破解这种图形验证码,有两种方式一种是使用第三方接口,另外一种就是自己训练,训练这种就算了!比较麻烦,我是使用的第三方是超级鹰。先说下思路哈,我们可以通过元素截图,获取到验证图片,把图片保存在python工程下面,然后把图片传送给第三方接口,从接口获取到图片中的验证码,保存到一个变量里面,然后将变量的值输入到验证码
逻辑漏洞---登录验证码安全
qq_44418229的博客
07-14 4681
逻辑漏洞---登录验证码安全
selenium绕过验证码
12-31
Selenium可以通过多种方式绕过验证码,以下是两种常见的方法: 1. 使用打码平台:可以使用第三方打码平台,如超级鹰、图灵等,将验证码发送给平台进行识别,然后将识别结果输入到验证码输入框中。这种方法需要注册并购买相应的服务。 2. 自动识别验证码:可以使用图像处理库(如OpenCV)对验证码进行处理,例如去噪、二值化等操作,然后使用机器学习或深度学习算法对验证码进行训练和识别。这种方法需要一定的图像处理和机器学习知识。 需要注意的是,绕过验证码可能涉及到违法行为,因此在实际应用中需要遵守相关法律法规和网站的使用规定。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值