自建ocr接口动态识别验证码 配bp进行验证码爆破

已于 2023-12-08 10:26:00 修改
阅读量3.7k 收藏 7
点赞数 3
文章标签: python
于 2023-04-21 16:53:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73353130/article/details/130134212
版权

一. 声明:本文仅限学习研究讨论,切忌做非法乱纪之事!

一、插件简介
captcha-killer要解决的问题是让burp能用上各种验证码识别技术!

注意:

插件目前针对的图片型验证码,其他类型目前不支持。
captcha-killer本身无法识别验证码,它专注于对各种验证码识别接口的调用
二、下载地址:
burp2020前使用:

https://github.com/c0ny1/captcha-killer/tree/0.1.2
burp2020后的版本使用:

https://github.com/Ta0ing/captcha-killer-java8
1.下载插件并加载

下载DDDDdocr API 服务器{kali环境下有docker环境}

地址:https://github.com/sml2h3/ocr_api_server.git

git clone https://github.com/sml2h3/ocr_api_server.git
cd ocr_api_server
# 修改entrypoint.sh中的参数,具体参数往上翻,默认9898端口,同时开启ocr模块以及目标检测模块
# 编译镜像
docker build -t ocr_server:v1 .
# 运行镜像
docker run -p 9898:9898 -d ocr_server:v1

部署好之后,docker ps -a看看

映射到9898端口了,接下来验证连通性

curl -v http://ip:9898/ping

返回pong,表示成功

访问验证码的链接地址,抓验证码的请求包,并发送到插件

然后到切换到captcha-killer插件面板,点击获取即可拿到要识别的验证码图片内容(下方验证码url栏处,直接点击获取验证码也行,无需复制验证码url,再点击获取)

 注意:获取验证码的cookie一定要和intruder发送的cookie相同!

配置识别接口的地址和请求包

接口地址:http://api.ttshitu.com:80

请求包,username,password处去http://ttshitu.com注册账号,该平台识别500次一元钱:

POST /predict HTTP/1.1
Host: api.ttshitu.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/json;charset=UTF-8
Content-Length: 1443

{"username":"****","password":"****","typeid":"3","image":"<@BASE64><@IMG_RAW></@IMG_RAW></@BASE64>"}

(我们的上面的代码可以直接粘贴使用)
注意:有一种情况,作者没有粘贴代码,而是把代码放到写作框里,所以代码header与body中间的空行,里面有个空格一定要删掉。(CSDN的原因空行自带一个空格)

但是开头我们自己搭建了一个ocr接口可以直接免费使用,

以下是成功图

 这个是我们的请求包

  • POST /ocr/b64/json HTTP/1.1
    Host: ip:port
    Authorization:Basic f0ngauth
    User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:97.0) Gecko/20100101 Firefox/97.0
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
    Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
    Accept-Encoding: gzip, deflate
    Connection: keep-alive
    Upgrade-Insecure-Requests: 1
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 8332

    <@BASE64><@IMG_RAW></@IMG_RAW></@BASE64>

匹配识别结果

通过判断我们知道,接口返回的json数据中,字段result的值为识别结果。我们这里使用Regular expression(正则表达式)来匹配,然后选择YX7L右键标记为识别结果,系统会自动生成正则表达式规则t"\:(.*?)","

 到达这步建议将配置好常用接口的url,数据包已经匹配规则保存为模版,方便下次直接通过右键模板库中快速设置。

这时抓包登录界面的请求包,

 然后发送到攻击器

 设置Intruder的爆破模式和payload位置

 验证码payload选择通过插件来生成

设置线程

 多线程会导致大量验证码错误,验证码还没识别完成,已经被另一个线程刷新改变了

开始爆破

 备注: 1.本来想爆破pikachu的  但是pikachu的验证码不好识别(10个里面能错4个,不管是收费还是免费的ocr接口)

             2.爆破图形验证码,得看看验证码好不好识别,然后再去爆破。(基本四位数,看着清楚的,随便爆破就完了)

             

小哥不太逍遥
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
2023图形验证码自动识别接口
2301_78150700的博客
07-02 289
需要注意的是,图形验证码自动识别接口的准确性取决于多个因素,包括验证码的复杂程度、预处理和特征提取算法的质量、以及训练样本的数量和质量等。因此,对于复杂的验证码,自动识别的准确性可能会有限。训练分类器:使用已经标注好的验证码样本,可以使用机器学习算法(如支持向量机、神经网络等)来训练一个验证码分类器。训练过程中,分类器会学习不同特征与验证码字符之间的关联,并以此作为基础进行验证码识别。通过将预处理和特征提取应用于输入的验证码图片,然后将得到的特征输入到分类器中进行判定,以确定验证码中的字符。
Java使用OCR技术识别验证码实现自动化登陆方法
08-25
在本篇文章里小编给大家分享的是关于Java 如何使用 OCR 技术识别验证码实现自动化登陆的相关知识点内容,需要的朋友们学习下。
验证码识别接口、多种样式验证码识别接口、中英文验证码识别接口
最新发布
小for学习栏
06-07 805
【代码】验证码识别接口、多种样式验证码识别接口、中英文验证码识别接口
burpsuite+captcha-killer插件识别图片验证码进行爆破
热门推荐
02-17 1万+
一、插件简介 captcha-killer要解决的问题是让burp能用上各种验证码识别技术! 注意: 插件目前针对的图片型验证码,其他类型目前不支持。 captcha-killer本身无法识别验证码,它专注于对各种验证码识别接口的调用 二、下载地址: burp2020前使用: https://github.com/c0ny1/captcha-killer/tree/0.1.2 burp2020后的版本使用: https://github.com/Ta0ing/captcha-killer
验证码识别插件-captcha-killer
zkaqlaoniao的博客
05-23 798
总的来说,它是个用Java写的插件,可以无缝衔接于burp.但是他只是一个调用接口,并不进行识别的操作,真正进行验证码识别处理的是两个个用Python脚本(codereg.py)调用的两个接口(ddddocr和aiohttp), 稍后我会进行简明的介绍captcha-killer设计理念是只专注做好对各种验证码识别技术接口的调用, 说具体点就是burp通过这一个插件,就可以适各种验证码识别接口,无需重复编写调用代码.
图形验证码识别API接口分享-JAVA版
weixin_60940255的博客
12-05 1799
图形验证码识别API接口分享
使用appfox工具调用登录接口自动识别图片验证码
hf_programmer的博客
05-05 1118
apifox自动从验证码图片中识别验证码完成登录
OCRServer识别验证码.zip
09-08
本篇文章将深入探讨OCRServer如何进行验证码识别,并结合性能测试,分析其在实际应用中的表现。 一、OCR技术基础 OCR技术主要用于将图像中的文字转换为机器可读的文本。在验证码识别中,OCRServer通常会通过以下...
C# 使用AspriseOCR.dll实现验证码识别
12-20
这里的`DllImport`特性用于导入动态链接库(DLL),`OCR`函数接收图片文件路径和一个标志参数(在这里设置为-1),返回的是识别到的文本的指针。`Marshal.PtrToStringAnsi`函数则用来将这个指针转换为可读的字符串。...
使用Tesseract-OCR在loadrunner中识别验证码
03-23
使用Tesseract-OCR在loadrunner中识别验证码,知道还有一个Tesseract-OCR可以用来识别图片上的文字(验证码)。 有一个Tesseract-OCR可以用来识别图片上的文字(验证码)。  在code.google上下载了tesseract-ocr-setup-...
GIF动态验证码,内涵2种验证码样式
01-15
java GIF 动态验证码实现,内涵另外两种简单验证码格式
jmeter-jmeter使用ocrserver工具自动识别验证码
10-12
jmeter使用ocrserver工具自动识别验证码
教你python自动识别图文验证码的解决方案!
软件测试技术交流分享
10-31 2080
验证码识别解决方案 对于web应用程序来讲,处于安全性考虑,在登录的时候,都会设置验证码验证码的类型种类繁多,有图片中辨别数字字母的,有点击图片中指定的文字的,也有算术计算结果的,再复杂一点就是滑动验证的。诸如此类的验证码,对我们的系统增加了安全性的保障,但是对于我们测试人员来讲,在自动化测试的过程中,无疑是一个棘手的问题。
ddddocr打包后程序的使用
weixin_46010646的博客
11-11 1818
免费的OCR识别程序
ui自动化测试中验证码识别处理
qq_58223744的博客
03-18 875
在UI自动化测试中,使用dddddocr这样的OCR(Optical Character Recognition,光学字符识别)工具来处理验证码识别是一个有效的方法。dddddocr是一个用于识别图片中的文字的Python库,尤其适用于处理验证码等包含复杂字符的图像。在UI自动化测试中,验证码识别是一个常见的挑战。一旦你获得了验证码识别结果,你可以将其用于自动化测试中相应的验证码输入字段。在自动化测试过程中,当遇到验证码时,你需要捕获验证码的图片。使用dddddocr的API对捕获的验证码图片进行识别
2024年最新最全的Jmeter接口测试必会技能:jmeter对图片验证码的处理
阿里大叔说测试的博客
11-26 1087
也方便你下次能够快速查找。如有不懂还要咨询下方小卡片,博主也希望和志同道合的测试人员一起学习进步在适当的年龄,选择适当的岗位,尽量去发挥好自己的优势。我的自动化测试开发之路,一路走来都离不每个阶段的计划,因为自己喜欢规划和总结,测试开发视频教程、学习笔记领取传送门!!
对有验证码的后台网页进行爆破-captcha-killer-modified
sxdby的博客
03-22 2734
接着接口URL,填写为http://127.0.0.1:8888,在Reques template 中右击置模板库为ddddocr(没有使用过工具的,这里在未设置模板库时应该是 无内容的)攻击目标url:http://xxxx/pikachu-master/vul/burteforce/bf_server.php(xxxx为自己的靶机地址,我的就是127.0.0.1)攻击目标的验证码图片接口的url:http://127.0.0.1/pikachu-master/inc/showvcode.php。
ddddocr 汉字位置识别
weixin_47115747的博客
09-29 8099
ddddocr 汉字位置识别
ocr识别滑块验证码
11-14
OCR技术可以用于识别很多类型的验证码,但对于滑块验证码,有时可能会遇到一些困难。滑块验证码是一种常见的人机验证方式,用户需要拖动滑块将其与滑块背景图中的目标对齐,以完成验证。这种验证码识别主要基于分析滑块与背景图之间的相对位置关系。 一般而言,OCR技术可以识别验证码中的文本或数字,但滑块验证码并不包含明确的文本或数字,而是依赖于用户操作的行为。因此,针对滑块验证码OCR技术可能无法直接识别其中的内容。 然而,有些滑块验证码设计者可能会在滑块上添加辅助信息,例如文本、余下滑块面积等。在这种情况下,OCR技术可以通过识别这些附加信息,辅助判断滑块的位置,进而模拟用户拖动滑块的操作,最终完成验证码识别。 总而言之,OCR技术在识别滑块验证码方面存在一定的局限性,但对于包含辅助信息的滑块验证码,仍有一定的应用价值。在某些情况下,可能需要使用其他相关技术或者人工干预来辅助滑块验证码识别

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值