xp_CAPTCHA与Burp Suite联动

已于 2024-01-02 18:15:58 修改
阅读量2.5k 收藏 12
点赞数 2
分类专栏: 网络安全 文章标签: python 网络安全
于 2021-08-17 17:27:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_57172130/article/details/119759205
版权

目录

xp_CAPTCHA工具配置

xp_CAPTCHA工具所需环境的安装

xp_CAPTCHA工具导入Burp Suite

验证xp_CAPTCHA工具功能生效

xp_CAPTCHA与Burp Suite实现爆破联动

xp_CAPTCHA工具配置

  • 工具下载地址
https://github.com/smxiazi/NEW_xp_CAPTCHA
  • 下载完成后有2个python3脚本文件。本次工具服务端安装在kali中,所以将server.py脚本导入kali中。

 

  •  配置虚拟机kali中的server.py脚本的服务地址以及真机中的xp_CAPTCHA.py脚本的ip地址。
vim server.py

 xp_CAPTCHA工具所需环境的安装

  • 安装muggle_ocr 模块。github作者称python3版本需要小于3.7,可是本人python3版本为3.8.6,依旧可以正常运行。
python3 -m pip install -i http://mirrors.aliyun.com/pypi/simple/ --trusted-host mirrors.aliyun.com muggle-ocr    #阿里源没有该库可选择清华源

pip install -i https://pypi.tuna.tsinghua.edu.cn/simple muggle_ocr    #清华源

  •  运行服务,并使用浏览器访问。真机和虚拟机均可访问
python3 server.py

xp_CAPTCHA工具导入Burp Suite

  • 由于xp_CAPTCHA依赖与python环境运行,所以Burp Suite需要安装Jython
  • 下载地址
https://repo1.maven.org/maven2/org/python/jython-standalone/2.7.2/jython-standalone-2.7.2.jar

 

  •  导入两个文件后看到以下内容则说明导入成功(切记:导入的两个文件不能含有中文路径

 验证xp_CAPTCHA工具功能生效

  •  找了一个靶场后台进行验证。如何验证呢?
  1. 保存后台验证码图片
  2. 将保存的验证码图片使用网上的在线工具进行base64编码。如:菜鸟工具、站长之家等
  3. 访问xp_CAPTCHA开启的服务 http://kali-ip:8899/base64 并使用burp suite抓包
  4. 将抓取到的数据包发送到Repeater(重放模块),修改数据提交类型(GET——>POST)
  5. 在数据包中添加数据体字段base64,并将之前验证码图片的base64编码值赋值给该字段。随后放包看响应包即可看到识别出来的验证码
  • 使用一个靶场后台测试

  •  使用站长之家将验证码图片编码为base64

  •  访问服务页面,并抓包修改数据提交方式
http://kali-ip:8899/base64

  •  在数据体中添加base64字段赋值验证码图片base64编码值,观察响应包中识别出来的验证码(准确率有待考量)

 xp_CAPTCHA与Burp Suite实现爆破联动

 

  • 可以在服务页面看到验证码识别的记录(准确率一半一半)

菜瓜苗
关注
专栏目录
安装xiapao时遇到的一些问题 #NEW_xp_CAPTCHA_4.2
南街日暮的博客
04-25 834
xp(白嫖版)官方网址:https://github.com/smxiazi/NEW_xp_CAPTCHA 直接使用pip3 install安装也会报错 可以使用离线安装的方法:下载cp36对应的版本即可,然后运行来安装最后将xp的jdk_8版本jar包导入burp,运行即可使用
burp suite验证码识别插件NEW_xp_CAPTCHA首次安装
阿莫希邻的博客
08-13 2936
无意中发现一个免费的验证码识别插件,该插件作者GitHub链接https://github.com/smxiazi/NEW_xp_CAPTCHA 作者提示需要python3.7以下环境,我电脑里是python3.9,所以需要再安装一个低版本,安装python的步骤就不说了,这里说一下python是可以多版本同时在电脑中存在的,注意版本共存也有一定的限制,只能第二版本号不同共存,即3.6.6和3.7.6可以共存,但3.6.6和3.6.5不可以。安装了多版本的python后,在cmd中输入python只能是调
burp插件new_xp_capcha识别验证码的简易安装
c0529的博客
06-02 632
大佬给了安装地址,我们直接下载百度网盘就可以,这个文件比较大400m左右,所以可以在pdd买一个一天的百度网盘会员了,要不然真的很考验心态。下完之后就是这样的,我们把python36加入一下环境变量,就可以正常使用了。选择add,选java,我这里选的是jdk8的包做的,提示。导入burpsuite中添加。我们下载一下这个jar的包。
xp_CAPTCHA安装说明
最新发布
Blitz_Oddessuse的博客
07-23 252
安装说明
51、WEB攻防——通用漏洞&验证码识别&复用&调用&找回密码重定向&状态值
qq_55202378的博客
03-10 519
有两个问题:1、能不能多次获取验证码(安全的网站是:输入正确图片码才发送验证码,且间隔一段时间才重新发验证码);2、能不能在单位时间内无限制获取验证码。爆破后台密码时,一般需要验证码(验证码那个网站,每次访问验证码都变)。首先填写好验证码,再抓个包。这种方法使用条件:必须是通过前端JS来进行验证码判断,类似于文件上传中的前端验证。就是验证码重复使用(等于没有验证码);若不存在验证码复用,需要考虑。只是损耗资源,没有实质安全影响。
全网最详细的burp验证码爆破
热门推荐
kukudeshuo的博客
01-12 1万+
全网最详细的burp验证码爆破 前言 昨天也是做CTF题目的时候碰到了一道带验证码爆破的题目,想了想这么久了,一直都听说过有这么个东西,但是一直没有去实现,因为在现实生活中可能一般带了验证码的可能密码输错几次就被锁定了, 但是这个实现的过程真的是踩了很多很多的坑,网上所有的教程用的最多的就是使用captcha-killer这个插件,但是这个插件我是研究了两天也没有研究出来是怎么用的(可能是我太菜了),所以这里使用另外一款插件。 爆破过程 可以看到这里是已经将账号告诉你了,但是不知道密码,并且验证码会一直变
探索NEW_xp CAPTCHA:新一代验证码系统的创新实践
gitblog_00064的博客
04-12 502
探索NEW_xp CAPTCHA:新一代验证码系统的创新实践 项目地址:https://gitcode.com/smxiazi/NEW_xp_CAPTCHA 项目简介 NEW_xp CAPTCHA 是一个由开发者smxiazi构建的开源验证码系统。该项目的目标是提供一种高效、安全且用户体验友好的验证手段,以对抗恶意自动化脚本和机器人。与传统的文本或图像验证码相比,NEW_xp CAPTCHA采用了...
xp_CAPTCHA V4.1(瞎跑-白嫖版)安装
zdn2325的博客
06-29 4190
识别验证码xp_CAPTCHA V4.1(瞎跑-白嫖版)安装
burpsuit插件captcha-killer-modified验证码识别工具安装及使用_captcha-killer-modified插件安装(1)
2401_84968248的博客
05-16 504
captcha-killer的修改版,支持关键词识别base64编码的图片,添加免费ocr库,用于验证码爆破,适配新版Burpsuite自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
burpsuite+xray实现联动测试(手动分析和自动化测试同时进行)
sxyzwq的专栏
06-09 4397
burpsuite+xray实现联动实现安全测试
cnn_captcha-master_captcha_CNN_
10-01
针对字符型图片验证码,使用tensorflow实现卷积神经网络,进行验证码识别。项目封装了比较通用的校验、训练、验证、识别、API模块,极大的减少了识别字符型验证码花费的时间和精力。
cnn_captcha-master_OCR_captcha-master_cnn_captcha_CNN验证码识别_prese
10-01
本项目针对字符型图片验证码,使用tensorflow实现卷积神经网络,进行验证码识别。 项目封装了比较通用的**校验、训练、验证、识别、API模块**,极大的减少了识别字符型验证码花费的时间和精力 1.1 关于验证码识别...
reCAPTCHA:reCAPTCHA =识别CAPTCHA:一种Burp Suite扩展程序,可识别CAPTCHA并用于入侵者有效载荷自动识别图形验证码和使用burp intruder爆破模块的插件
02-20
一个burp插件,自动识别图形验证码,并入侵者中的有效载荷。 使用 安装: 从下载插件。 如果没有遇到错误,您将看到一个新的称为“ reCAPTCHA”的标签。 准备: 通过burp代理访问目标网站的登录界面。 在代理中找到...
环境安装:burp python3.6插件 验证码识别xp_CAPTCHA【window10】
迷心兔的博客
04-27 2372
旅行,不过是为了迷失自己,然后发现自己。
验证码爆破
HAKUNAMATATATTA的博客
11-28 1931
burp配合xp_CAPTCHA进行验证码爆破思路
使用burp插件实现图片验证码的识别
HRay's blog
03-24 8336
早上看到朋友圈有人转了一个新的识别图片验证码的burp插件,项目主页https://github.com/f0ng/captcha-killer-modified 正好之前对类似插件的使用效果不理想,于是使用了一下,整体来说,captcha-killer-modified与captcha-killer相同,都是结合第三方的ocr识别接口来识别图片验证码,但是这个项目里提到了一个免费的ocr识别项目ddddocr(项目地址https://github.com/sml2h3/ddddocr),确实好用,本文记
对有验证码的后台网页进行爆破-captcha-killer-modified
sxdby的博客
03-22 2828
接着配置接口URL,填写为http://127.0.0.1:8888,在Reques template 中右击配置模板库为ddddocr(没有使用过工具的,这里在未设置模板库时应该是 无内容的)攻击目标url:http://xxxx/pikachu-master/vul/burteforce/bf_server.php(xxxx为自己的靶机地址,我的就是127.0.0.1)攻击目标的验证码图片接口的url:http://127.0.0.1/pikachu-master/inc/showvcode.php。
弱口令密码破解
weixin_56378389的博客
04-07 1925
指用枚举的方式来爆破用户信息。具体的流程是用事先收集好的数据集成一个字典,然后用字典不断进行枚举,直到枚举成功。
xp_CAPTCHA
09-04
这是一个IT类的问题。"xp_CAPTCHA"是一个常见的术语,代表了一种验证码系统。CAPTCHA是“Completely Automated Public Turing test to tell Computers and Humans Apart”的缩写,用于区分计算机和人类用户。xp_CAPTCHA可能是一种特定类型的验证码系统,但我没有足够的背景信息来详细回答这个问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值