bp验证码爆破插件二改

最新推荐文章于 2025-06-29 18:02:48 发布
最新推荐文章于 2025-06-29 18:02:48 发布
阅读量3.7k 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: 网络安全 burp 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/jtsqrj/article/details/124092893

这不315晚会burp都上了嘛,蹭蹭时事热点。

0x01 背景

最近遇到了很多验证码登录口,验证码识别项目github上找了几个,但是不是装不上就是准确率不高的问题,后续也是慢慢修改出来了还算满意的识别验证码插件。
原插件项目地址为:
https://github.com/c0ny1/captcha-killer

修改后的项目地址为:
https://github.com/f0ng/captcha-killer-modified

已征得原作者同意进行二开

0x02插件二次修改

直接下载原项目的jar包,按照项目说明进行使用,发现intruder无法进行爆破,有些情况也满足不了需求,后面优化了一下,总共修改了两处地方

修改点1

发现使用过程中出现了报错

后面查了一下,原因是sun.misc.BASE64Encoder类不在jdk8+支持了,因为都在用新版burp了,而新版burp启动需要高版本的jdk,这里我是jdk10启动的burp,所以没有sun.misc.BASE64Encoder
下载源码,修改java.utils.Util里的源码如下:

// FileName: Util.java
 public static String base64Encode(byte[] byteArray){
   
   
        byte[] res = Base64.getEncoder().encode(byteArray);
        String res2 = new String(res);
        res2 = res2.replace(System.lineSeparator(),"");
最低0.47元/天 解锁文章

200万优质内容无限畅学
BurpSuite插件BP插件、Burp插件、武装BP
墨痕诉清风的博客
03-07 3808
目录 解决光标错位 HAE Domain Hunter Pro passive-scan-client-0.3.0 LinkFinder HTTPHeadModifer 解决光标错位 一般我拿到Burp必做的一件事就是把光标错位调整好: User options-Display-HTTP Message Display 黑体-24px HAE https://github.com/gh0stkey/HaE 此时才把插件导入进来,需要配置你的HAE正则。 公共规..
bp是用爆破带有验证码的工具小插件
weixin_45498459的博客
05-26 2014
captcha-killer.0.1.2.jar captcha-killer-java8-main.zip
bp中使用插件验证码进行爆破
2301_79635787的博客
06-13 829
(3).在存放codereg.py文件的路径下打开cmd,输入python codereg.py: (4).若出现下图,说明启动成功: 3.在bp中配置插件: 在bp的extender模块中,点击add,选择已下载的插件: 4.在proxy模块,打
自动识别图形验证码+爆破
最新发布
Raners_的博客
06-29 186
对于含有图形验证码爆破场景,由于每输入一次账号密码,图形验证码就会刷新,导致无法爆破,此时可以使用captcha-killer插件对图形验证码进行自动化识别。
BP插件暴破验证码安装教程及实战流程(BP+captcha-killer-modified+ddddocr)
weixin_70940440的博客
07-05 2443
2024.3版BP插件暴破+captcha-killer-modified+光学字符识别(captcha-killer-modified工具)+python 3.8.7或者使用3.9.4版本(个人建议3.6~3.9)(2)captcha-killer-modified是captcha-killer的修版,支持关键词识别base64编码的图片,添加免费ocr库,用于验证码爆破,适配新版Burpsuite。3.3.1---ddddocr只支持Python 3.9及以下版本---无法执行。
使用BP插件captcha-killer识别图片验证码&绕过系统验证码机制
Pluto.的博客
08-14 2124
利用bp插件captcha-killer识别图片验证码&绕过系统验证码机制,可用于有验证码机制的账密bao po,短信hong zha等
零基础学安全--Burp Suite验证码识别以及爆破
qq_66164763的博客
12-08 2487
学习视频来自B站up主 **泷羽sec** 有兴趣的师傅可以关注一下,如涉及侵权马上删除文章,笔记只是方便各位师傅的学习和探讨,文章所提到的网站以及内容,只做学习交流,其他均与本人以及泷羽sec团队无关,切勿触碰法律底线,否则后果自负!假设你现在选定了两个字段,这两个字段只可以使用一个字典,并且是一个字段使用完这个字典另外一个字段才能使用字典。假定现在你选定了两个字段,你有两个字典,两个字段同时使用两个字典,两个字段的长度不同时以短的字典为主。A在用a字典的第一个字符串时,B在用b字典的第一个字符串。
Burpsuite验证码爆破
haooah_的博客
11-06 2139
在上一篇的弱口令爆破基础上,进一步学习带有验证码的弱口令爆破
WEB攻防-&图片验证码识别&登录爆破&BurpCrypto&js调试前端加密爆破
m0_70535581的博客
07-18 774
WEB攻防-&图片验证码识别&登录爆破&BurpCrypto&js调试前端加密爆破
8-Burp插件识别验证码暴破
m0_62978778的博客
01-03 1045
5、抓登录的包,payload选插件,单线程。2、启动本地验证码识别服务ddddocr。3、抓验证码的包,发送到插件。4、配置识别服务模板。
自建ocr接口动态识别验证码bp进行验证码爆破
逍遥小哥的博客
04-21 4141
然后到切换到captcha-killer插件面板,点击获取即可拿到要识别的验证码图片内容(下方验证码url栏处,直接点击获取验证码也行,无需复制验证码url,再点击获取)备注: 1.本来想爆破pikachu的 但是pikachu的验证码不好识别(10个里面能错4个,不管是收费还是免费的ocr接口)2.爆破图形验证码,得看看验证码好不好识别,然后再去爆破。# 修entrypoint.sh中的参数,具体参数往上翻,默认9898端口,同时开启ocr模块以及目标检测模块。这时抓包登录界面的请求包,
Burp suite图形验证码识别转发插件captcha-killer.0.1.2
01-25
Burp suite图形验证码插件 注:需要配合验证码识别接口可用,本插件仅提供转发功能,不提供验证码识别
Max-BP接口插件
03-12
Max_BodyPaint接口 此接口为解决Max8.0、9.0、2009、2010和BodyPaint带来了方便,直接拷贝复制到MAX的插件根目录即可。
Burp插件识别验证码暴破(渡栗的bp学习笔记)
2301_79998006的博客
05-29 933
配置识别服务模板; codereg.py
BP插件 | Enhanced BurpGPT
不驚
03-05 741
Enhanced BurpGPT 是一个 Burp Suite 插件,它能帮助你使用 AI(人工智能)来分析 Web 应用的安全问题。简单来说,当你测试网站时,你可以在指定的请求响应对,点击send to gpt,交由AI分析,找出潜在的安全漏洞。
密码暴力破解与防御---进阶(含验证码的密码爆破)
m0_70389551的博客
04-05 3233
验证码识别有的网站为了防止代码、机器进行自动攻击,加入了验证码验证码的作用与分类验证码的作用:验证身份:验证是否为用户本人触发次验证的敏感操作:异地登录、修密码、注销等操作验证行为:区分当前操作是人类,还是机器人使用代码等手段发起批量自动化的操作触发操作:投票、抢购、爬虫、注册、发帖等CAPTCHA:【全自动区分计算机和人类的图灵测试】验证码的分类:静态验证码:EG.图片验证码、问答式验证码等行为式验证码:E.G.鼠标的点击、拖动滑块等。
带有验证码爆破(包含Burp suite工具爆破)
weixin_43960066的博客
09-16 7996
关于含有验证码爆破的一些总结!
burpsuit插件captcha-killer-modified验证码识别工具安装及使用_captcha-killer-modified插件安装(1)
2401_84968248的博客
05-12 448
captcha-killer的修版,支持关键词识别base64编码的图片,添加免费ocr库,用于验证码爆破,适配新版Burpsuite自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
BP插件分享——Turbo Intruder只会并发?分享几个常用技巧
ooooooih的博客
04-28 3072
我之前挖洞的时候,爆破或遍历接口一般是使用BP自带的Intruder插件,但是配置比较麻烦(这都没什么大问题),主要是太不灵活了,后面就完全放弃了,现在都是使用Turbo Intruder代替,几乎可以说是Intruder的上位替代品,好用到头皮发麻!
bp爆破验证码无法显示图片
01-17
### 关于BP爆破验证码图片不显示的解决方案 当遇到BP(Burp Suite)爆破过程中验证码图片无法正常显示的情况时,这通常涉及几个可能的原因以及相应的解决方法。 #### 1. 验证码请求头配置不当 如果浏览器或代理工具发送给服务器用于获取图像验证码的HTTP头部信息设置错误,则可能导致返回的数据不是预期中的PNG/JPEG格式文件而是HTML或其他类型的响应。因此建议检查并调整相关参数以匹配目标站点的要求[^2]。 ```http GET /captcha/image HTTP/1.1 Host: example.com User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 ... Accept: image/webp,*/*;q=0.8 Referer: https://example.com/login Cookie: session_id=abcde... ``` #### 2. 缺少必要的Cookies 某些网站会依赖特定session cookie来控制访问权限,在这种情况下如果没有携带这些cookies则可能会收到重定向到登录页面或者其他形式的身份验证提示而不是实际的验证码图片。可以通过抓包分析合法用户的网络流量找出所需的cookie项,并将其加入到后续请求中去[^1]。 #### 3. 使用缓存数据而非实时生成的新图 部分应用为了提高性能会在一定时间内重复利用之前产生的相同内容作为新的挑战值提供给不同用户查看;然而对于自动化测试来说这就意味着即使成功解析了一次也无法继续有效利用该结果完成整个流程。此时应当尝试禁用本地磁盘上的临时存储功能或者强制刷新资源链接地址以便每次都能获得独一无的有效样本供进一步处理[^4]。 #### 4. 处理动态加载的内容 现代Web应用程序经常采用异步JavaScript和XMLHttpRequest(AJAX)/Fetch API等方式按需加载部分内容而不会立即全部呈现出来。针对这种情况可以考虑启用浏览器开发者模式下的Network条件调试选项观察具体的交互过程从而定位确切的位置再做针对性修[^3]。 ---
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值