六,burp suite验证码识别绕过

声明! 学习视频来自B站up主 **泷羽sec** 有兴趣的师傅可以关注一下,如涉及侵权马上删除文章,笔记只是方便各位师傅的学习和探讨,文章所提到的网站以及内容,只做学习交流,其他均与本人以及泷羽sec团队无关,切勿触碰法律底线,否则后果自负!!!!有兴趣的小伙伴可以点击下面连接进入b站主页B站泷羽sec(https://space.bilibili.com/350329294)

六, burp suite 验证码识别绕过

captcha-killer要解决的问题是让burp能用上各种验证码识别技术!

注意:

  1. 插件目前针对的图片型验证码,其他类型目前不支持。
  2. captcha-killer本身无法识别验证码,它专注于对各种验证码识别接口的调用。

参考资料

《使用burp插件captcha-killer识别图片验证码》

《captcha-killer调用tesseract-ocr识别验证码》

《capatch-killer+机器学习识别验证码》

1,第一步安装burp suite的配套插件captcha-killer

GitHub - c0ny1/captcha-killer: burp验证码识别接口调用插件

2,安装ddddocr,ddddocr提供了开源的验证码识别接口,安装需要python环境,目前已支持pthon3.10版本安装,执行

pip3 install ddddocr

接下来安装 aiohttp(aiohttp是用于asyncio和Python的异步HTTP客户端/服务器,用来提供http服务)

pip3 install aiohttp

3,在github中拉取所需项目 GitHub - f0ng/captcha-killer-modified: captcha-killer的修改版,支持关键词识别base64编码的图片,添加免费ocr库,用于验证码爆破,适配新版Burpsuite

4,在插件所在文件夹开启cmd命令行,运行脚本

文章案例

GitHub - c0ny1/captcha-killer: burp验证码识别接口调用插件 插件源项目

https://gv7.me/articles/2019/burp-captcha-killer-usage/ 原插件用法

GitHub - sml2h3/ddddocr: 带带弟弟 通用验证码识别OCR pypi版 验证码识别项目

GitHub - jixing-lab/blaster: blaster 是一款弱密码隐患检测工具,用于网站登录弱密码检测。 验证码登录爆破

【Security】利用Burp Suite爆破带有验证码Web登录接口(保姆级教程) - 为极客而生 - 博客园 captcha-killer-modified详细用法及部分问题解决方案(如验证码识别位数问题)

实战检验验证码识别效果

5,使用在本地Ubantu靶场搭建的pikachu综合靶场,选择验证码识别绕过。

http://192.168.23.146/06/vul/burteforce/bf_server.php

6,实现查看页面源码分析验证码识别接口

所以验证码接口就是 http://192.168.23.146/pikachu/inc/showvcode.php

7,浏览器挂上代理,然后burp suite抓取请求数据包

在数据包内右键------captcha-killer------send to captcha panel

随后来到插件captcha-killer-modified页面,然后再修改验证码URL,将GET请求目录换成 /06/inc/showvcode.php,然后点击获取如果可以看见右侧验证码则表明获取成功

接下来配置接口URL,地址栏中输入http://127.0.01:8888,然后在Request template中右键在模板库中选择ddddocr

爆破登录部分

1,在浏览器中登录并挂上代理,在Burp Suite右键中将请求发送至Intruder模块

根据变量特征与数量选择攻击方式为Pitchfork,再添加字典payload,然后针对username/password和vcode进行添加:

添加攻击的Payload,1,2选择对应的用户名密码字典,3选择扩展插件

最后爆出账户/密码:admin/123456

相关推荐
小李@Free2FA15 小时前
跨境卖家多平台二次验证统一管理
安全·外贸·2fa·二次验证
云祺vinchin17 小时前
混合云异构环境下的灾备实战:VMware+Hyper-V统一保护方案解析
安全·容灾备份·容灾备份体系
chengbei1217 小时前
SoloXSS:一款现代化的自托管 XSS平台
web安全·xss漏洞·xss平台
一楼的猫20 小时前
AI写作检测机制技术深度解析:200+维度检测、叙事指纹与网文AI辅助怎么过审
人工智能·学习·安全·chatgpt·ai写作
技术不好的崎鸣同学20 小时前
[极客大挑战 2019]EasySQL 思路及解法
网络·安全·web安全
磐时信息技术21 小时前
GB 44495/44496正式施行:智能网联汽车信息安全与软件升级进入强制合规阶段
网络安全·信息安全·汽车·gb44495·gb44496
Kyrie67821 小时前
Januscape:潜伏 16 年的 KVM 虚拟机逃逸漏洞
安全·kvm
wtsolutions21 小时前
Excel-to-JSON本地化Excel插件发布 - 在Excel中安全离线转换数据
安全·json·excel
AI创界者1 天前
【实战演练】基于 Kali Linux 的自动化漏洞扫描与安全加固指南
网络·安全·web安全
听你说321 天前
五新智能:以成套智能装备赋能全球工程建设
安全·创业创新