验证码爆破

已于 2023-01-16 16:57:25 修改
阅读量1.8k 收藏 5
点赞数 4
分类专栏: WEB安全基础 文章标签: 服务器 运维 web安全 测试工具 安全
于 2022-11-28 22:31:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44971640/article/details/128088829
版权

文章目录

验证码爆破页面发现

登录页面存在验证码,尝试爆破,验证码错误

使用burpsuite 抓包分析

post请求中能看到 username、password、checkcodestr 等参数,即可进行爆破

xp_CAPTCHA

使用xp_CAPTCHA识别验证码,进行密码爆破

下载地址

GitHub

1、默认使用jdk1.8编译

2、在最新版的burp2.x中jdk为1x,会导致插件不可用,,使用jdk8编译到不行,请下载jdk16版本试试。

3、爆破时,记得把线程设置为1。

burp suite使用

Burp导入插件

运行server_4.2.py

会在本地搭建一个web服务

python server_4.2.py

访问 http://127.0.0.1:8899 搭建成功

[外链图片转存中…(img-YO4OupkU-1669646291301)]

打开burp配置接口

配置瞎跑接口为:127.0.0.1:8899

配置验证码的url地址为:https://xxxxxx/checkcode.php

勾选监控intruder、监控repeater 保存配置

修改repeater模块,checkcodestr参数为:@xiapao@1@

点击重发,发现收到密码不正确,即可发送到intruder模块进行爆破用户名,密码

payload添加密码字典,直到爆破出用户名密码即可

渗透测试小白
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
xp_CAPTCHA与Burp Suite联动
qq_57172130的博客
08-17 2267
目录 xp_CAPTCHA工具配置 xp_CAPTCHA工具所需环境的安装 xp_CAPTCHA工具导入Burp Suite 验证xp_CAPTCHA工具功能生效 xp_CAPTCHA与Burp Suite实现爆破联动 xp_CAPTCHA工具配置 工具下载地址 https://github.com/smxiazi/NEW_xp_CAPTCHA 下载完成后有2个python3脚本文件。本次工具服务端安装在kali中,所以将server.py脚本导入kali中。 配置虚拟机kal..
安装xiapao时遇到的一些问题 #NEW_xp_CAPTCHA_4.2
南街日暮的博客
04-25 755
xp(白嫖版)官方网址:https://github.com/smxiazi/NEW_xp_CAPTCHA 直接使用pip3 install安装也会报错 可以使用离线安装的方法:下载cp36对应的版本即可,然后运行来安装最后将xp的jdk_8版本jar包导入burp,运行即可使用
burp插件new_xp_capcha识别验证码的简易安装
c0529的博客
06-02 507
大佬给了安装地址,我们直接下载百度网盘就可以,这个文件比较大400m左右,所以可以在pdd买一个一天的百度网盘会员了,要不然真的很考验心态。下完之后就是这样的,我们把python36加入一下环境变量,就可以正常使用了。选择add,选java,我这里选的是jdk8的包做的,提示。导入burpsuite中添加。我们下载一下这个jar的包。
环境安装:burp python3.6插件 验证码识别xp_CAPTCHA【window10】
迷心兔的博客
04-27 2325
旅行,不过是为了迷失自己,然后发现自己。
cnn_captcha-master_captcha_CNN_
10-01
针对字符型图片验证码,使用tensorflow实现卷积神经网络,进行验证码识别。项目封装了比较通用的校验、训练、验证、识别、API模块,极大的减少了识别字符型验证码花费的时间和精力。
xp_CAPTCHA V4.1(瞎跑-白嫖版)安装
zdn2325的博客
06-29 3921
识别验证码xp_CAPTCHA V4.1(瞎跑-白嫖版)安装
弱口令密码破解
weixin_56378389的博客
04-07 1836
指用枚举的方式来爆破用户信息。具体的流程是用事先收集好的数据集成一个字典,然后用字典不断进行枚举,直到枚举成功。
探索NEW_xp CAPTCHA:新一代验证码系统的创新实践
gitblog_00064的博客
04-12 479
探索NEW_xp CAPTCHA:新一代验证码系统的创新实践 项目地址:https://gitcode.com/smxiazi/NEW_xp_CAPTCHA 项目简介 NEW_xp CAPTCHA 是一个由开发者smxiazi构建的开源验证码系统。该项目的目标是提供一种高效、安全且用户体验友好的验证手段,以对抗恶意自动化脚本和机器人。与传统的文本或图像验证码相比,NEW_xp CAPTCHA采用了...
验证码识别+爆破
weixin_44174581的博客
08-30 6484
碰到比较简单,很好辨认的验证码可以尝试此种方法爆破 审查元素,找到验证码对应URL 复制到域名后面访问一下,确定是验证码URL 然后,打开工具PKAV HTTP FUzzer,开始尝试自动识别验证码。 工具下载地址:https://sec.kim/2019/01/07/渗透测试工具%EF%BC%9Apkav-http-fuzzer/ 点击下方图片型验证码识别,将验证码URL复制到工具中,设置参数,该网站验证码为四位可重复小写字母 点击识别测试,更换识别引擎多试几次,估计一下哪个准确率高 Burp抓包
暴力破解+验证码爆破
qq_46430168的博客
07-05 2030
一、使用burpsuite对web进行账号密码暴力破解    登录界面    将数据包发送到repeater    在paloads中添加密码本    在intruder-postions中clear以及add    开始破解后,发现第四个密码返回的长度与其他不同,点开response,找到login success,证明破解成功 二、验证码爆破 &
pkav验证码爆破工具
05-14
pkav验证码爆破工具
弱口令爆破(图片验证码爆破工具)
03-01
用于带有图片验证码弱口令爆破
基于机器学习的登录验证码爆破工具
05-08
基于机器学习的登录验证码爆破工具提供了两种工作模式:本地运行模式和远程服务运行模式。 不管是本地运行模式还是远程服务运行模式都需要安装服务端和客户端。 服务端为机器学习模块,该模块主要在...
Codex验证码后台爆破V2.1
06-02
验证码图片url写入可识别,可结合爆破
AILoginBlasting:基于机器学习的登录验证码爆破工具
05-30
基于机器学习的登录验证码爆破工具 说在前面 喜欢我们的项目请Fork、Star、Watching支持我们。 如果有宝贵的意见,请在Issue中回复,你们宝贵的意见是我们完善的动力。 开发人员:、魏超、张梦丽、陈兰兰、艾美珍、...
burp suite验证码识别插件NEW_xp_CAPTCHA首次安装
阿莫希邻的博客
08-13 2846
无意中发现一个免费的验证码识别插件,该插件作者GitHub链接https://github.com/smxiazi/NEW_xp_CAPTCHA 作者提示需要python3.7以下环境,我电脑里是python3.9,所以需要再安装一个低版本,安装python的步骤就不说了,这里说一下python是可以多版本同时在电脑中存在的,注意版本共存也有一定的限制,只能第二版本号不同共存,即3.6.6和3.7.6可以共存,但3.6.6和3.6.5不可以。安装了多版本的python后,在cmd中输入python只能是调
xp_CAPTCHA安装说明
最新发布
Blitz_Oddessuse的博客
07-23 157
安装说明
全网最详细的burp验证码爆破
热门推荐
kukudeshuo的博客
01-12 1万+
全网最详细的burp验证码爆破 前言 昨天也是做CTF题目的时候碰到了一道带验证码爆破的题目,想了想这么久了,一直都听说过有这么个东西,但是一直没有去实现,因为在现实生活中可能一般带了验证码的可能密码输错几次就被锁定了, 但是这个实现的过程真的是踩了很多很多的坑,网上所有的教程用的最多的就是使用captcha-killer这个插件,但是这个插件我是研究了两天也没有研究出来是怎么用的(可能是我太菜了),所以这里使用另外一款插件。 爆破过程 可以看到这里是已经将账号告诉你了,但是不知道密码,并且验证码会一直变
burpsuite绕过验证码爆破
09-08
根据引用内容,有两种方法可以使用Burpsuite绕过验证码进行爆破:免费版本和付费版本。在免费版本中,你可以下载相应的软件进行使用,但是可能会出现验证码识别错误的情况。而在付费版本中,你可以下载对应的插件并调用收费接口,可以提高验证码的识别准确性。另外,引用中还提到了一种进阶版本,直接调用收费API进行爆破。此外,引用中指出,最好的方式是编写Python脚本进行爆破,以应对管理员密码存在特殊字符可能导致的返回500错误的情况。<span class="em">1</span><span class="em">2</span><span class="em">3</span><span class="em">4</span>
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

渗透测试小白

如果您觉得满意,一分一毛也是爱

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值