全网最简单的 burp 验证码识别爆破

已于 2024-01-03 17:36:55 修改
阅读量1k 收藏 13
点赞数 11
文章标签: python web安全 网络安全
于 2024-01-03 17:06:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33906495/article/details/135367789
版权

1 前期准备

下载插件:

https://github.com/f0ng/captcha-killer-modified/releases/tag/0.24.3
根据启动burp的java版本下载对应的插件版本

根据启动burp的java版本下载对应的插件版本

配置python环境:

代码如下:

# -*- encoding=utf-8 -*-

import argparse
import ddddocr                      
from aiohttp import web

ocr = ddddocr.DdddOcr()
async def handle_cb(request):
    return web.Response(text=ocr.classification(await request.text()))

app = web.Application()
app.add_routes([web.post('/reg', handle_cb)])

if __name__ == '__main__':
    web.run_app(app,host='127.0.0.1',port=8881)

安装库:

flask
ddddocr
Pillow==9.5.0
aiohttp==3.8.3
argparse==1.1

pip install -r requirement.txt -i https://pypi.tuna.tsinghua.edu.cn/simple

2 验证码爆破

插件安装

添加-文件选择插件captcha-killer-modified-点击下一个
在这里插入图片描述
在这里插入图片描述
点击网页当中的验证码-抓包-将包发送给插件captcha-killer-modified

在这里插入图片描述
插件点击获取返回验证码即证明插件安装成功
在这里插入图片描述

接口启动

此处我的python环境为3.8.10
在这里插入图片描述
模板库选择ddddocr-修改端口与python当中的保持一致-点击识别
在这里插入图片描述
点击识别成功匹配出验证码
在这里插入图片描述

爆破

选中识别出的验证码,并将其标记为识别结果。
在这里插入图片描述
攻击类型选择Pitchfork,将变量1,2分别设置为密码和验证码
在这里插入图片描述
变量1密码,正常选择密码爆破文档
在这里插入图片描述
变量2-选择通过扩展生成-扩展选中captcha-killer-modified-OK
在这里插入图片描述

KKLH
关注
  • 11
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Burpsuite验证码识别插件captcha-killer-modified“ 使用教程(详细)
yaoguangyang05的博客
02-16 1万+
Burpsuite验证码识别插件captcha-killer-modified“ 使用教程(详细)
Burp爆破Burp爆破 常用用户名字典
03-22
简单学习使用的Burp爆破 常用 常见 用户名字典
burpsuit插件captcha-killer-modified验证码识别工具安装及使用
最新发布
m0_61025358的博客
04-18 1018
captcha-killer的修改版,支持关键词识别base64编码的图片,添加免费ocr库,用于验证码爆破,适配新版Burpsuite。
Burp suite图形验证码识别转发插件captcha-killer.0.1.2
01-25
Burp suite图形验证码插件 注:需要配合验证码识别接口可用,本插件仅提供转发功能,不提供验证码识别
146-Burp识别验证码暴破密码
09-08
146-Burp识别验证码暴破密码
环境安装:burp python3.6插件 验证码识别xp_CAPTCHA【window10】
迷心兔的博客
04-27 2121
旅行,不过是为了迷失自己,然后发现自己。
全网最详细的burp验证码爆破
kukudeshuo的博客
01-12 1万+
全网最详细的burp验证码爆破 前言 昨天也是做CTF题目的时候碰到了一道带验证码爆破的题目,想了想这么久了,一直都听说过有这么个东西,但是一直没有去实现,因为在现实生活中可能一般带了验证码的可能密码输错几次就被锁定了, 但是这个实现的过程真的是踩了很多很多的坑,网上所有的教程用的最多的就是使用captcha-killer这个插件,但是这个插件我是研究了两天也没有研究出来是怎么用的(可能是我太菜了),所以这里使用另外一款插件爆破过程 可以看到这里是已经将账号告诉你了,但是不知道密码,并且验证码会一直变
全网最新、最详细的使用burpsuite验证码识别绕过爆破教程(2023最新)
热门推荐
qq1140037586的博客
12-27 1万+
最近一直在研究绕过验证码进行爆破的方法,在这里对自己这段时间以来的收获进行一下分享。在这里要分享的绕过验证码爆破的方法一共有2个,分为**免费版本**(如果验证码比较奇怪可能会有识别错误的情况)和**付费版本**(调用收费接口,所以很精准),下面针对两种不同的版本分别做分享
burpsuite验证码爆破教程
Javachichi的博客
04-08 3360
6、填写验证码识别接口,这里有百度的可以用,但是有次数限制,需要修改为自己的token,不推荐,但是如果想使用,只需要在接口的大框框里右键--模板库--百度,点击,就会自动填充百度ocr的模板。此时需要观察我们intruder页面的数据包的cookie是否和我们验证码插件所在页面的数据包的cookie一样,需要以插件页面的cookie为准。3、添加变量,对要爆破的地方和验证码的地方添加变量,我这里假设爆破密码,所以需要对密码所在的值和验证码的值添加变量。工欲善其事必先利其器。
burp跑字典,验证码破解4/6
YH,生活越来越好
05-16 5122
Burp Suite 是一种常用的网络安全测试工具,它可以通过暴力破解的方式来。如何使用 Burp Suite 进行呢?
带有验证码的爆破(包含Burp suite工具爆破)
weixin_43960066的博客
09-16 6931
关于含有验证码爆破的一些总结!
burpsuite爆破用户名和密码测试
09-06
使用wamp搭建测试渗透环境并用burpsuite暴破用户名和密码 把群共享中的wamp.rar下载下来解压到C盘根目录,然后运行“wampmanager.exe”,点击右下角的图标,在弹出的菜单中选择Mysql->Service-安装服务。
利用Burpsuite爆破Tomcat密码1
08-03
格式: 户名:密码 => admin:123456 => YWRtaW46MTIzNDU2这我们可以采Metasploit中的tomcat爆破辅助模块,当然也可
burp安装验证码插件
weixin_48776804的博客
02-28 271
burp安装验证码插件
安装xiapao时遇到的一些问题 #NEW_xp_CAPTCHA_4.2
南街日暮的博客
04-25 616
xp(白嫖版)官方网址:https://github.com/smxiazi/NEW_xp_CAPTCHA 直接使用pip3 install安装也会报错 可以使用离线安装的方法:下载cp36对应的版本即可,然后运行来安装最后将xp的jdk_8版本jar包导入burp,运行即可使用
对有验证码的后台网页进行爆破-captcha-killer-modified
sxdby的博客
03-22 2543
接着配置接口URL,填写为http://127.0.0.1:8888,在Reques template 中右击配置模板库为ddddocr(没有使用过工具的,这里在未设置模板库时应该是 无内容的)攻击目标url:http://xxxx/pikachu-master/vul/burteforce/bf_server.php(xxxx为自己的靶机地址,我的就是127.0.0.1)攻击目标的验证码图片接口的url:http://127.0.0.1/pikachu-master/inc/showvcode.php。
渗透测试-Burp识别验证码暴破密码
lza20001103的博客
08-31 1783
Burp识别验证码暴破密码 文章目录Burp识别验证码暴破密码1、下载插件和服务代码2、安装Burp插件3、获取验证码4、本地服务识别验证码5、抓取登录包暴破 1、下载插件和服务代码 地址: https://github.com/f0ng/captcha-killer-modified/releases 该项目基于captcha-killer (https://github.com/c0ny1/captcha-killer)修改,可以用于2021-2022的Burp Suite。 其中jar文件是Burp
burpsuite安装插件captcha-killer识别验证码
ANOrange的博客
05-24 5726
安装和初步使用captcha-killer插件进行验证码识别
暴力破解及验证码安全
2301_79194110的博客
10-01 2923
hydra -L user.txt -P top100.txt -t 1 -vV -e ns 10.0.0.131 mssql -o 1.txt 通过cat 1.txt查看。由于token值输出在前端源代码中,容易被获取,因此也就失去了防暴力破解的意义,一般Token在防止CSRF上会有比较好的功郊。-C FILE 使用冒号分割格式,例如“登录名:密码”来代替-L/-P参数。-p PASS 小写,指定密码破解,少用,一般是采用密码字典。-w TIME 设置最大超时的时间,单位秒,默认是30s。
captcha-plus
11-03
captcha-plus是一种进阶版的验证码系统,用于验证用户是否为真实人类而不是机器或恶意程序。传统的验证码通常是要求用户识别并输入随机生成的文字或数字,而captcha-plus在此基础上进行了改进和升级。 captcha-plus的特点之一就是多样化的验证方式。除了文字和数字之外,它还可以采用更复杂的验证元素,例如图像识别、滑动拼图、声音识别等。这种多样化的验证方式能够更好地确保用户的真实性,并提高验证码系统的安全性和难度。 另外,captcha-plus还采用了智能化的识别技术。它能够根据用户的行为和操作习惯进行行为分析,从而判断是否为真实用户。通过分析用户的点击方式、键盘输入速度、鼠标移动轨迹等行为特征,captcha-plus可以识别出机器生成的请求或恶意程序的攻击,从而提高验证的准确性和可靠性。 captcha-plus还具有自适应的能力。它可以根据不同的用户环境和设备特性,自动调整验证码的难度和形式。比如,对于移动设备用户,可以提供更适合触摸操作的验证方式;对于视力有障碍的用户,可以提供更易于辨识的验证元素。这种自适应能力能够提升用户体验,并降低用户因验证码难度过高或不适应环境而放弃注册或访问的可能性。 综上所述,captcha-plus作为一种进阶版的验证码系统,通过多样化的验证方式、智能化的识别技术和自适应的能力,能够更有效地防止机器或恶意攻击,提高用户验证的准确性和安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值