bp是用爆破带有验证码的工具小插件

最新推荐文章于 2025-06-29 18:02:48 发布

生活之光

最新推荐文章于 2025-06-29 18:02:48 发布

阅读量2k

点赞数 3

CC 4.0 BY-SA版权

文章标签： web安全

本文链接：https://blog.youkuaiyun.com/weixin_45498459/article/details/124992370

安装插件

captcha-killer.0.1.2.jar
captcha-killer-java8-main.zip

安装插件

安装好后就会出现这个东东

两处url的获取

验证码在验证码出选择新建连接

bp抓取验证码连接进行最好先在重放文件中

为什么要发送到重放文件中呢，应为下面要对开发类型进行更改在更改好后进行重放 bp会给我们修改好Content-Length 长度

最低0.47元/天解锁文章

200万优质内容无限畅学

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

生活之光

关注关注

3
点赞
踩
9

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

bp验证码爆破插件二改

f0ng的博客

04-11

3702

burp验证码爆破插件

利用burpsuite爆破有验证码的弱口令

2301_80453793的博客

05-28

2193

（2）、在此面输入admin，密码和验证码随便输入一个，点击登入之前启用burpsuite的抓包功能，然后送入到intruder模块。首先在payload set选择2，在payload type上选择Extension-generated，然后点击select generator，在弹出的窗口中选择xp_CAPTCHA，最后点击OK。在www文件夹下最好在创建一个文件夹，名字要一个英文名字。光标在第14行时，单击回车，然后输入xiapao:,然后空格再输入复制的图像地址，最后再单击回车。

参与评论您还未登录，请先登录后发表或查看评论

BP插件暴破验证码安装教程及实战流程（BP+captcha-killer-modified+ddddocr）

weixin_70940440的博客

07-05

2451

2024.3版BP及插件暴破+captcha-killer-modified+光学字符识别（captcha-killer-modified工具）+python 3.8.7或者使用3.9.4版本（个人建议3.6~3.9）（2）captcha-killer-modified是captcha-killer的修改版，支持关键词识别base64编码的图片，添加免费ocr库，用于验证码爆破，适配新版Burpsuite。3.3.1---ddddocr只支持Python 3.9及以下版本---无法执行。

自动识别图形验证码+爆破

最新发布

Raners_的博客

06-29

187

对于含有图形验证码的爆破场景，由于每输入一次账号密码，图形验证码就会刷新，导致无法爆破，此时可以使用captcha-killer插件对图形验证码进行自动化识别。

在bp中使用插件对验证码进行爆破

2301_79635787的博客

06-13

832

(3).在存放codereg.py文件的路径下打开cmd，输入python codereg.py： (4).若出现下图，说明启动成功： 3.在bp中配置插件：在bp的extender模块中，点击add，选择已下载的插件： 4.在proxy模块，打

8-Burp插件识别验证码暴破

m0_62978778的博客

01-03

1046

5、抓登录的包，payload选插件，单线程。2、启动本地验证码识别服务ddddocr。3、抓验证码的包，发送到插件。4、配置识别服务模板。

带有验证码的爆破(包含Burp suite工具爆破)

weixin_43960066的博客

09-16

8002

关于含有验证码爆破的一些总结！

绕过验证码爆破==＞captcha-killer插件

zkaq7777777的博客

06-05

2220

想必大家都会使用burp进行爆破,当遇到带验证码的登录表单进行爆破时,基本尝试抓包后观察验证码是否主动更新,或者进行验证码绕过(我是十八期萌新,听风风说的有这个方法,但我还没学到),机缘巧合下我接触到了captcha-killer这个插件,可以提供给大家第三种爆破思路(我的插件和脚本打包放在文章附件了,插件也可以从GitHub下载)(https://github.com/c0ny1/captcha-killer “GitHub下载链接以及部分资料地址”)

Burpsuite验证码爆破

haooah_的博客

11-06

2140

在上一篇的弱口令爆破基础上，进一步学习带有验证码的弱口令爆破。

WEB攻防-&图片验证码识别&登录爆破&BurpCrypto&js调试前端加密爆破

m0_70535581的博客

07-18

776

WEB攻防-&图片验证码识别&登录爆破&BurpCrypto&js调试前端加密爆破

零基础学安全--Burp Suite验证码识别以及爆破

qq_66164763的博客

12-08

2499

学习视频来自B站up主 **泷羽sec** 有兴趣的师傅可以关注一下，如涉及侵权马上删除文章，笔记只是方便各位师傅的学习和探讨，文章所提到的网站以及内容，只做学习交流，其他均与本人以及泷羽sec团队无关，切勿触碰法律底线，否则后果自负！假设你现在选定了两个字段，这两个字段只可以使用一个字典，并且是一个字段使用完这个字典另外一个字段才能使用字典。假定现在你选定了两个字段，你有两个字典，两个字段同时使用两个字典，两个字段的长度不同时以短的字典为主。A在用a字典的第一个字符串时，B在用b字典的第一个字符串。

Burp suite图形验证码识别转发插件captcha-killer.0.1.2

01-25

Burp suite图形验证码插件注：需要配合验证码识别接口可用，本插件仅提供转发功能，不提供验证码识别

验证码识别登陆爆破暴力破解工具F-Login F-Verify

04-19

验证码识别登陆爆破暴力破解工具F-Login F-Verify，国内安全团队开发的验证码识别工具，能够识别验证码并实现密码爆破

pkav验证码爆破工具

05-14

pkav验证码爆破工具

使用BP插件captcha-killer识别图片验证码&绕过系统验证码机制

Pluto.的博客

08-14

2132

利用bp插件captcha-killer识别图片验证码&绕过系统验证码机制，可用于有验证码机制的账密bao po，短信hong zha等

Burp插件识别验证码暴破（渡栗的bp学习笔记）

2301_79998006的博客

05-29

933

配置识别服务模板; codereg.py

自建ocr接口动态识别验证码 配bp进行验证码爆破

逍遥小哥的博客

04-21

4143

然后到切换到captcha-killer插件面板，点击获取即可拿到要识别的验证码图片内容（下方验证码url栏处，直接点击获取验证码也行，无需复制验证码url，再点击获取）备注： 1.本来想爆破pikachu的但是pikachu的验证码不好识别（10个里面能错4个，不管是收费还是免费的ocr接口）2.爆破图形验证码，得看看验证码好不好识别，然后再去爆破。# 修改entrypoint.sh中的参数，具体参数往上翻，默认9898端口，同时开启ocr模块以及目标检测模块。这时抓包登录界面的请求包，

一款简单验证码爆破工具-codex验证码后台爆破辅助工具V2.1，附下载链接。

白帽子黑客SuperherRo

09-24

632

工具作用很直白就是用来爆破后台的，支持简单图形验证码(英数识别)，也支持无验证码爆破，不过我一般拿来爆破有验证码的后台，无验证码的直接用BP爆破就行。

一款简单验证码爆破工具-codex验证码后台爆破辅助工具V2.1

SuperherRo的博客

10-23

2697

工具作用很直白就是用来爆破后台的，支持`简单图形验证码(英数识别)`，也支持无验证码爆破，不过我一般拿来爆破有验证码的后台，无验证码的直接用`BP`爆破就行

bp爆破验证码无法显示图片

01-17

### 关于BP爆破验证码图片不显示的解决方案当遇到BP（Burp Suite）爆破过程中验证码图片无法正常显示的情况时，这通常涉及几个可能的原因以及相应的解决方法。 #### 1. 验证码请求头配置不当如果浏览器或代理工具发送给服务器用于获取图像验证码的HTTP头部信息设置错误，则可能导致返回的数据不是预期中的PNG/JPEG格式文件而是HTML或其他类型的响应。因此建议检查并调整相关参数以匹配目标站点的要求[^2]。 ```http GET /captcha/image HTTP/1.1 Host: example.com User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 ... Accept: image/webp,*/*;q=0.8 Referer: https://example.com/login Cookie: session_id=abcde... ``` #### 2. 缺少必要的Cookies 某些网站会依赖特定session cookie来控制访问权限，在这种情况下如果没有携带这些cookies则可能会收到重定向到登录页面或者其他形式的身份验证提示而不是实际的验证码图片。可以通过抓包分析合法用户的网络流量找出所需的cookie项，并将其加入到后续请求中去[^1]。 #### 3. 使用缓存数据而非实时生成的新图部分应用为了提高性能会在一定时间内重复利用之前产生的相同内容作为新的挑战值提供给不同用户查看；然而对于自动化测试来说这就意味着即使成功解析了一次也无法继续有效利用该结果完成整个流程。此时应当尝试禁用本地磁盘上的临时存储功能或者强制刷新资源链接地址以便每次都能获得独一无二的有效样本供进一步处理[^4]。 #### 4. 处理动态加载的内容现代Web应用程序经常采用异步JavaScript和XMLHttpRequest(AJAX)/Fetch API等方式按需加载部分内容而不会立即全部呈现出来。针对这种情况可以考虑启用浏览器开发者模式下的Network条件调试选项观察具体的交互过程从而定位确切的位置再做针对性修改[^3]。 ---