渗透测试验证码爆破实操

最新推荐文章于 2024-05-23 18:00:00 发布
最新推荐文章于 2024-05-23 18:00:00 发布
阅读量558 收藏 1
点赞数 1
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wutiangui/article/details/132258509
版权

一、准备工具
captcha-killer-modified
下载路径
https://github.com/f0ng/captcha-killer-modified
https://github.com/f0ng/captcha-killer-modified/releases/download/0.21-beta/captcha-killer-modified-0.21-beta-jdk11.jar

二、安装工具
burp安装captcha-killer-modified.jar包
在这里插入图片描述在这里插入图片描述

三、搭建服务
搭建验证码识别服务(下载安装ddddocr)
cmd下执行
pip install -i http://mirrors.aliyun.com/pypi/simple/ --trusted-host mirrors.aliyun.com ddddocr aiohttp
四、启动服务
启动验证码识别接口(codereg.py)
python codereg.py
在这里插入图片描述

五、配置参数与报错处理
修改验证码位数codereg.py,4改成6
在这里插入图片描述

解决PIL.Image’ has no attribute 'ANTIALIAS’问题
在这里插入图片描述

修改ddddocr的_init_.py文件,将其中的ANTIALIAS替换为新方法:
# image = image.resize((int(image.size[0] * (64 / image.size[1])), 64), Image.ANTIALIAS).convert(‘L’)
image = image.resize((int(image.size[0] * (64 / image.size[1])), 64), Image.LANCZOS).convert(‘L’)
六、爆破前准备工作
首先打开有验证码的页面,比如
在这里插入图片描述

然后找到发验证码的程序,发现是这个
http://127.0.0.1/pikachu/inc/showvcode.php
然后在bp里拦截右键发送到扩展模块extensions
在这里插入图片描述

左下角输入http://127.0.0.1:8888,然后右键选择dddocr
在这里插入图片描述

然后点击获取可以刷新验证码,点击识别可以识别验证码,效果如下
在这里插入图片描述

七、实操爆破
现在还是回到有验证码的登录页面,拦截发送到工具模块
在这里插入图片描述

使用鱼叉pitchfork模式,开启密码和验证码为参数爆破
在这里插入图片描述

Payload2选择扩展模块的captcha-killer-modified
Payload1选择自己的字典
在这里插入图片描述

使用单线程延迟1秒爆破
在这里插入图片描述

爆破结果如下
在这里插入图片描述

选择第一个,发现登录成功,说明爆破成功
在这里插入图片描述

只为了拿0day
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Burpsuite验证码识别插件 “captcha-killer-modified“ 使用教程(详细)
yaoguangyang05的博客
02-16 1万+
Burpsuite验证码识别插件 “captcha-killer-modified“ 使用教程(详细)
验证码识别 登陆 爆破 暴力破解 工具F-Login F-Verify
04-19
验证码识别 登陆 爆破 暴力破解 工具F-Login F-Verify,国内安全团队开发的验证码识别工具,能够识别验证码并实现密码爆破
burpsuit插件captcha-killer-modified验证码识别工具安装及使用_captcha-killer-modified插件安装(1)
2401_84968248的博客
05-16 462
captcha-killer的修改版,支持关键词识别base64编码的图片,添加免费ocr库,用于验证码爆破,适配新版Burpsuite自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
一款简单验证码爆破工具-codex验证码后台爆破辅助工具V2.1
siu~
10-23 1324
工具作用很直白就是用来爆破后台的,支持`简单图形验证码(英数识别)`,也支持无验证码爆破,不过我一般拿来爆破验证码的后台,无验证码的直接用`BP`爆破就行
验证码爆破
HAKUNAMATATATTA的博客
11-28 1822
burp配合xp_CAPTCHA进行验证码爆破思路
带有验证码爆破(包含Burp suite工具爆破)
weixin_43960066的博客
09-16 7078
关于含有验证码爆破的一些总结!
pkav验证码爆破工具
05-14
pkav验证码爆破工具
渗透测试专用爆破字典》
最新发布
07-17
渗透测试专用暴力破解字典,包含各类用户名、密码,SQL注入、XSS等poc、目录路径地址等
渗透测试工具,爆破解密
12-04
渗透测试工具,爆破解密 渗透测试工具,爆破解密 可帮解答
弱口令爆破(图片验证码爆破工具)
03-01
用于带有图片验证码弱口令爆破
Codex验证码后台爆破V2.1
06-02
验证码图片url写入可识别,可结合爆破
burpsuite验证码爆破教程_burpsuite 验证码,2024年最新面试看这个就够了
2401_84240554的博客
04-13 2059
7、第7步就是自己本地使用验证码识别项目进行无限制识别,识别成功率85%左右,但是好在没限制,可以无限使用POST /reg HTTP/1.1 Host: 127.0.0.1:8888 Connection: close Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_5) AppleWebKit/537.36 (KHTML, like
全网最简单的 burp 验证码识别爆破_burp python的验证码识别插件
m0_60635035的博客
04-09 400
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。点击网页当中的验证码-抓包-将包发送给插件captcha-killer-modified
学了那么久Python还什么都做不了,我觉得你该试试这个方法了
热门推荐
龙叔的博客
11-08 1万+
答应我,别再做无用功了
bp是用爆破带有验证码的工具小插件
weixin_45498459的博客
05-26 1785
captcha-killer.0.1.2.jar captcha-killer-java8-main.zip
验证码识别插件-captcha-killer
zkaqlaoniao的博客
05-23 804
总的来说,它是个用Java写的插件,可以无缝衔接于burp.但是他只是一个调用接口,并不进行识别的操作,真正进行验证码识别处理的是两个个用Python脚本(codereg.py)调用的两个接口(ddddocr和aiohttp), 稍后我会进行简明的介绍captcha-killer设计理念是只专注做好对各种验证码识别技术接口的调用, 说具体点就是burp通过这一个插件,就可以适配各种验证码识别接口,无需重复编写调用代码.
暴力破解之验证码识别
希望我的博客,能帮上你解决学习中工作中所遇到的问题
04-10 4172
渗透测试过程中,现在验证码越来越多,这对测试的时候遇到的阻力不小,一位大佬给我安利了一个burp插件,Captcha-killer,可以自动对验证码进行识别,从而进行暴力破解。验证码识别是使用了python的开源验证码识别接口ddddocr模块。使用burp抓包,把验证码的包发到Captcha-killer模块。本地尝试一下运行脚本,出现下面信息,代表运行成功。下载好Captcha-Killer模块,选择生成器,这样就可以进行暴力破解啦。【下载不了的,我把安装包放到文末】回到插件,点击获取验证码
burp验证码爆破插件_captcha-killer-modified
weixin_50995890的博客
12-08 673
burp验证码爆破插件_captcha-killer-modified
密码暴力破解与防御---进阶(含验证码的密码爆破)
m0_70389551的博客
04-05 2053
验证码识别有的网站为了防止代码、机器进行自动攻击,加入了验证码验证码的作用与分类验证码的作用:验证身份:验证是否为用户本人触发二次验证的敏感操作:异地登录、修改密码、注销等操作验证行为:区分当前操作是人类,还是机器人使用代码等手段发起批量自动化的操作触发操作:投票、抢购、爬虫、注册、发帖等CAPTCHA:【全自动区分计算机和人类的图灵测试】验证码的分类:静态验证码:EG.图片验证码、问答式验证码等行为式验证码:E.G.鼠标的点击、拖动滑块等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值