自动识别图形验证码+爆破

原创 于 2025-06-29 18:02:48 发布 · 197 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #web安全

一.概述

对于含有图形验证码的爆破场景,由于每输入一次账号密码,图形验证码就会刷新,导致无法爆破,此时可以使用captcha-killer插件对图形验证码进行自动化识别

二.使用方法

当点击验证码时,这个验证码就会刷新。

图片

我们打开bp拦截,然后点击验证码,让验证码刷新

抓到包后右键,将这条数据发送到captcha-killer插件中去

图片

图片

点击获取后,会发现右侧已经得到了我们目前网页的验证码图片了

此时我们启动一下刚才下载的codereg.py。

图片

然后返回bp,在下面空白部分右键选择ddddocr

图片

点识别就ok了

图片

到现在为止,还需要注意一点

图片

一定要点击启动该插件,否则无法把自动化识别到的验证码导入爆破模块

爆破方式选择pitchfork attack,设置双变量

图片

密码部分导入自己的密码本即可,验证码部分选择Extension-generated

图片

图片

另外,使用并发数为1的线程池,防止冲突。

图片

此时就可以成功爆破了

图片

Fenghan_
关注
bp是用爆破带有验证码的工具小插件
weixin_45498459的博客
05-26 2015
captcha-killer.0.1.2.jar captcha-killer-java8-main.zip
WEB攻防-&图片验证码识别&登录爆破&BurpCrypto&js调试前端加密爆破
m0_70535581的博客
07-18 780
WEB攻防-&图片验证码识别&登录爆破&BurpCrypto&js调试前端加密爆破
验证码识别 登陆 爆破 暴力破解 工具F-Login F-Verify
04-19
验证码识别 登陆 爆破 暴力破解 工具F-Login F-Verify,国内安全团队开发的验证码识别工具,能够识别验证码并实现密码爆破
verifyreader图形验证码识别爆破
W小哥
04-16 1599
第一步:打开目标网站,如下图所示 选择tools 选择配置工具 复制图片验证码地址 选择字库设置 按照右边识别的数字,输入7073并回车,直到0-9 10个数字全部识别完 文件-》保存 关闭配置软件,选择F-login并打开 这个时候随便输入一个密码用burpsuite抓取账号密码登录请求数据包 将抓取数据包中的内容复制到F-login对应的位置 根据使用说明设置变量位置...
零基础学安全--Burp Suite验证码识别以及爆破
qq_66164763的博客
12-08 2529
学习视频来自B站up主 **泷羽sec** 有兴趣的师傅可以关注一下,如涉及侵权马上删除文章,笔记只是方便各位师傅的学习和探讨,文章所提到的网站以及内容,只做学习交流,其他均与本人以及泷羽sec团队无关,切勿触碰法律底线,否则后果自负!假设你现在选定了两个字段,这两个字段只可以使用一个字典,并且是一个字段使用完这个字典另外一个字段才能使用字典。假定现在你选定了两个字段,你有两个字典,两个字段同时使用两个字典,两个字段的长度不同时以短的字典为主。A在用a字典的第一个字符串时,B在用b字典的第一个字符串。
在bp中使用插件验证码进行爆破
2301_79635787的博客
06-13 840
(3).在存放codereg.py文件的路径下打开cmd,输入python codereg.py: (4).若出现下图,说明启动成功: 3.在bp中配置插件: 在bp的extender模块中,点击add,选择已下载的插件: 4.在proxy模块,打
验证码插件
Mr.Cheng的博客
05-13 1071
js写的图形验证码插件,记录下来,以后用的着:http://www.jq22.com/jquery-info13064
reCAPTCHA:reCAPTCHA =识别CAPTCHA:一种Burp Suite扩展程序,可识别CAPTCHA并用于入侵者有效载荷自动识别图形验证码和使用burp intruder爆破模块的插件
02-20
一个burp插件自动识别图形验证码,并入侵者中的有效载荷。 使用 安装: 从下载插件。 如果没有遇到错误,您将看到一个新的称为“ reCAPTCHA”的标签。 准备: 通过burp代理访问目标网站的登录界面。 在代理中找到...
BurpSuite实现图形验证码识别
qq_41945550的博客
05-08 1493
Burp Suite+图形验证码识别工具:百度ocr识别的使用:打码平台:导入Burp中 工具: Burp Suite + Captcha-killer burp 验证码识别插件 百度ocr识别,打码平台识别 百度ocr识别的使用: 注册百度账号并进入文字识别 创建完成可以查看生产的key 获取参数 access_token :(构造请求ocr平台接口参数使用) 打码平台: 请求模板: POST /base64 http/1.1 Host: api.ttshitu.com Upgrade-
Java 课程设计报告-图形验证码.doc
最新发布
07-21
图形验证码的应用十分普遍。在图形验证码的使用初期,一般是用于防止批量注册的,人眼看起来都费劲。然后像百度贴吧这样的网站在进行未登录发贴时也要输入验证码用于防止大规模匿名回帖的发生。目前,不少网站为了...
爆破验证码的后台.rar
05-19
FUZZ有验证码的后台,附带使用说明PPT以及操作演示视频,请遵守资源共享原则,只可以用于学习。简单操作讲解:1.输入登录地址或者放入请求包,添加需要爆破字段的标记,然后添加验证码标记,使用验证码识别功能智能识别验证码。可以自动跟踪重定向数据包以及无条件重定向,设置线程,并发,超超时,代理等
Codex验证码后台爆破V2.1
06-02
验证码图片url写入可识别,可结合爆破
burp绕过验证码爆破
qq_41035871的博客
09-22 6293
一、序言 以jshop演示站为例,登录页面如下,登录次数超过限制会增加验证码字段。 抓包重放,返回密码错误。 二、爆破管理员账号密码 发送到Intruder模块,先正常爆破密码试试。 可以看见爆破没几个就增加了验证码,返回请输入验证码。 返回Repeater模块,可以看见返回也是请输入验证码。 猜测此类站点逻辑为,正常登录不需要验证码,如果达到某种条件则增加验证码(账号错误次数超过10次、同一个IP登录次数过多、同一台pc登录次数过多) 测试修...
JMeter开发插件——图片验证码识别
weixin_30642869的博客
03-03 1841
我们在性能测试中总会时不时地遭遇到来自于应用系统的各种阻碍,图片验证码就是一类最常见的束缚,登录或交易时需要按照图片中的内容输入正确的验证信息后,数据才可以提交成功,这使得许多性能测试工具只能望而却步。网上也出现了一些LoadRunner的解决方案,但结合LoadRunner对于C脚本内存控制和识别成功率低下等诸多问题,这些方案没有什么实际用途。然而,为JMeter开发插件却给我们提供了一条可行的...
验证码识别插件 - captcha-killer
风依旧的博客
01-04 1221
在这里可以选择对密码和验证码进行标记,并把攻击类型选择为交叉(由于对账号、密码、验证码都加上标记,然后用集束炸弹验证的话,效率非常之低,不便于演示,所以这里我仅对密码和验证码进行标记,并使用交叉模式)将数据包发送至插件后,我们还需要在插件选择模板,比如我搭建的pikachu靶场,其验证码为小写字母+数字的组合,那么我们在模板这里选择一下字母+数字。首先右键验证码-在新标签页中打开图片,然后开启burp的抓包功能,并刷新打开的验证码标签页,burp对其自动抓包,而后我们将该包发送至插件
一款简单验证码爆破工具-codex验证码后台爆破辅助工具V2.1,附下载链接。
白帽子黑客SuperherRo
09-24 640
工具作用很直白就是用来爆破后台的,支持简单图形验证码(英数识别),也支持无验证码爆破,不过我一般拿来爆破验证码的后台,无验证码的直接用BP爆破就行。
一款简单验证码爆破工具-codex验证码后台爆破辅助工具V2.1
SuperherRo的博客
10-23 2728
工具作用很直白就是用来爆破后台的,支持`简单图形验证码(英数识别)`,也支持无验证码爆破,不过我一般拿来爆破验证码的后台,无验证码的直接用`BP`爆破就行
BP插件暴破验证码安装教程及实战流程(BP+captcha-killer-modified+ddddocr)
weixin_70940440的博客
07-05 2478
2024.3版BP及插件暴破+captcha-killer-modified+光学字符识别(captcha-killer-modified工具)+python 3.8.7或者使用3.9.4版本(个人建议3.6~3.9)(2)captcha-killer-modified是captcha-killer的修改版,支持关键词识别base64编码的图片,添加免费ocr库,用于验证码爆破,适配新版Burpsuite。3.3.1---ddddocr只支持Python 3.9及以下版本---无法执行。
burp验证码识别爆破
06-11
此时,可以通过插件自动识别验证码[^3]。 - **验证码识别测试** 在 Burp Suite 的 Repeater 模块中,发送验证码请求并验证识别结果。如果识别成功,则可以继续后续步骤;否则,可能需要调整识别参数或更换 OCR ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值