BurpSuite-6(验证码识别)

声明:学习视频来自b站up主 泷羽sec,如涉及侵权马上删除文章

感谢泷羽sec 团队 的教学

视频地址:burp(6)暴力破解与验证码识别绕过_哔哩哔哩_bilibili

一、下载

github地址:GitHub - f0ng/captcha-killer-modified: captcha-killer的修改版,支持关键词识别base64编码的图片,添加免费ocr库,用于验证码爆破,适配新版Burpsuite

release下载的是BurpSuite的扩展

二、安装

1.先在BurpSuite添加release下载的扩展(captcha-killer-modified-0.24.6-jdk11.jar)

2.Download ZIP解压后,在文件夹输入cmd,运行.py文件

注意,有一些python模块可能未进行安装,需要自行安装,命令如下:

复制代码
pip install aiohttp
pip install ddddocr

三、使用步骤

1.运行codereg.py,开启接口

复制代码
python codereg.py

2.右击验证码打开新建标签页打开图像

3.BurpSuite代理拦截验证码图像的URL(每次刷新,URL中的图片也会跟着刷新),然后将数据包发送到扩展

4. 配置验证码识别

四、实现爆破

1.将拦截下来的数据包发送到爆破模块,设置payload

2.使用pitchfork攻击模式,然后第一个payload集为弱口令字典,第二个payload集为扩展生成识别验证码

3.设置资源池

4.开始攻击,发现验证码发生改变,实现验证码爆破

相关推荐
Clownseven5 小时前
云端备份与恢复策略:企业如何选择最安全的备份解决方案
安全
薄荷椰果抹茶8 小时前
【网络安全基础】第六章---Web安全需求
安全·web安全
游戏开发爱好者815 小时前
iOS重构期调试实战:架构升级中的性能与数据保障策略
websocket·网络协议·tcp/ip·http·网络安全·https·udp
HumanRisk15 小时前
降低网络安全中的人为风险:以人为本的路径
网络·安全·web安全
运维开发王义杰15 小时前
金融安全生命线:用AWS EventBridge和CloudTrail构建主动式入侵检测系统
安全·金融·aws
安全系统学习17 小时前
系统安全之大模型案例分析
前端·安全·web安全·网络安全·xss
加密狗复制模拟19 小时前
坚石ET ARM加密狗复制模拟介绍
安全·软件工程·个人开发
galaxylove20 小时前
Gartner发布塑造安全运营未来的关键 AI 自动化趋势
人工智能·安全·自动化
scuter_yu20 小时前
主流零信任安全产品深度介绍
运维·网络·安全
江苏思维驱动智能研究院有限公司20 小时前
Sophos 网络安全:全球领先的自适应安全解决方案提供商
网络·安全·web安全