结合验证码识别的暴力破解

已于 2023-09-08 18:35:14 修改
阅读量1k 收藏 2
点赞数 2
分类专栏: 渗透测试 文章标签: web安全
于 2023-01-25 22:10:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_47533648/article/details/128762902
版权

```2023年将会持续于B站、优快云等各大平台更新,可加入粉丝群与博主交流:838681355,为了老板大G共同努力。```

一、前言

带有验证码的登录口如何做暴力破解行为,本文采用Pkav HTTP Fuzzer工具来记录。
【2023/1/26 2:31】——更新burp插件captcha-killer验证码识别工具爆破操作。

二、工具使用

2.1 PKAV-Fuzz

burp抓包获取包copy进工具
爆破位置 ——添加标记
验证码位置 ——添加验证码标记

在这里插入图片描述

添加验证码地址
识别范围填写
测试识别情况

在这里插入图片描述···

设置头部
设置线程
设置验证码长度

在这里插入图片描述

选择字典

在这里插入图片描述
自行选择https或http
在这里插入图片描述

2.2 Captcha-killer工具

https://github.com/c0ny1/captcha-killer/tree/0.1.2 ——burp2020前
http://www.ttshitu.com/user/report.html ——图片识别接口(1)

获取验证码数据包,传递给插件进行识别

在这里插入图片描述在这里插入图片描述

接口设置:
接口url:http://api.ttshitu.com:80

POST /predict HTTP/1.1
Host: api.ttshitu.com
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36
Accept: application/json;
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/json;charset=UTF-8
Content-Length: 109

{"username":"<User>","password":"<Pass>","typeid":"3","image":"<@BASE64><@IMG_RAW></@IMG_RAW></@BASE64>"}

在这里插入图片描述

识别后匹配方式选择Regular expression正则匹配,选中验证码右键选择标记为识别结果即可自动生成匹配规则

在这里插入图片描述
测试:
在这里插入图片描述爆破操作:

右键选择通用模板
抓取需要爆破操作的数据包
添加需要爆破的验证码
选择模式Extension-generated
选择payload captcha-killer
线程选择1-3,即可点击爆破

在这里插入图片描述
在这里插入图片描述在这里插入图片描述查看平台识别情况:
在这里插入图片描述

浅谈暴力破解验证码安全
L_lemo004的博客
09-22 4076
文章目录一、暴力破解验证码安全注意事项二、C/S架构暴力猜解三、B/S架构暴力猜解四、Hydra安装及使用安装参数说明各种用法实例五、防范暴力猜解六、验证码安全工作原理存在的问题图片验证码的生成可能存在如下问题在验证码的程序实现流程方面可能存在如下问题对抗现状验证码未来可能的主要形式操作验证码安全0x01 验证码可重用0x02 验证码识别0x03 客户端生成/显示/校验0x04 空验证码绕过0x05 验证码数量有限0x06 是否校验可控0x07 超过次数才开启验证码0x08 验证码可预测身份验证码安全0
验证码识别论文总结---外文篇
Mr_tianyanxiaobai的博客
08-24 4099
文章目录《A Survey on Breaking Technique of Text-Based CAPTCHA》《Selective Learning Confusion Class for Text-Based CAPTCHA Recognition》《A Low-Cost Approach to Crack Python CAPTCHAs Using AI-Based Chosen-Pla...
验证码识别 登陆 爆破 暴力破解 工具F-Login F-Verify
04-19
验证码识别 登陆 爆破 暴力破解 工具F-Login F-Verify,国内安全团队开发的验证码识别工具,能够识别验证码并实现密码爆破
验证码识别暴力破解
菜鸟学安全的博客
05-25 347
校验登录功能附近的漏洞,验证码识别暴力破解
验证码暴力破解测试
酷狗直播-锦凡歆的博客
05-27 1460
验证码暴力破解测试 测试原理和方法 找回密码功能模块中通常会将用户凭证(一般为验证码)发送到用户自己才可以看到 的手机号或者邮箱中,只要用户不泄露自己的验证码就不会被攻击者利用,但是有些应用 程序在验证码发送功能模块中验证码位数及复杂性较弱,也没有对验证码做次数限制而导 致验证码可被暴力枚举并修改任意用户密码。 在测试验证码是否可以被暴力枚举时,可以先将验证码多次发送给自己的账号,观察 验...
暴力破解验证码绕过)
rnn0921的博客
07-25 6837
暴力破解--验证码绕过 on client:正确的应该是,后端生成验证码,传到前端时是图片的形式,(而不是以字符串的形式)用户在前端输入验证码,与后端的验证码值做对比。如果想要爆破的话,在每次请求前要把上一次请求的响应包获取到,把其中的token值取出来,token采用递归payload,把上次请求的token值作为本次请求的token值,然后再进行发送,进入options选项,从响应中提取选项,fetch response,在响应包中选中token值,然后提交token,即可运行。
暴力破解验证码(pikachu)
weixin_57448301的博客
12-07 1179
暴力破解验证码 on client on server
146-Burp识别验证码暴破密码
09-08
首先,需要安装 Python 和 ddddocr 库,然后使用 codereg.py 文件来启动验证码识别服务。接着,需要填写接口 URL 和请求模板,然后点击“识别”,即可识别验证码。 暴破密码 使用 Burp Suite 和 captcha-killer-...
验证码破解:爬虫模拟验证码识别登录方式
验证码破解的概述 验证码(CAPTCHA)是计算机用于区分人类用户和计算机程序的一种程序设计,通过给用户展示一些难以被计算机识别的图片或文字,要求用户根据提示完成相应的操作,如输入文字、选择图片等,以此来...
VB实现验证码识别及其图像处理技术解析
在计算机技术领域中,验证码识别是一个结合了图像处理技术和模式识别技术的应用,它主要用于区分用户是人还是自动化程序。验证码(Completely Automated Public Turing test to tell Computers and Humans Apart)的...
溯雪IIBeta1(暴力破密,带验证码识别!)
07-12
溯雪可以做什么 1、对免费信箱的探测,主要通过猜测生日的方法,成功率可达60%-70%。 2、对各种社区、BBS、聊天室等密码的探测。 3、此外还有一个xx功能。 4、对于一些免费邮箱的密码探测,建议采用[流光 2000],准确性更好,速度也更快。 5、此版本的内核重新写过,线程处理更加完善,不会出现到假死机状态。
验证码破解
01-20
验证码识别工具是专业的刷票公司开发的高技术破解软件。 破解网络上大部份常用的验证码。功能非常强大。使用简单。
暴力破解漏洞及验证码漏洞
2302_76217918的博客
10-08 215
●设计安全验证码(安全的流程+复杂而又可用的图形验证码;●对认证错误的提交进行计数并给出限制,比如连续5次密码错误,锁定2小时验证码的作用是区别人与机器行为以防止攻击者对某一场景使用暴力破解等攻击。现在常见的验证码有图形验证码,短信验证码,行为式验证码等。
暴力破解验证码安全
最新发布
XLbb的博客
05-20 2714
网站是否双因素认证、Token值等等 用抓包工具查看是否有token值;双因素认证查看登录是的需要验证码; 可以尝试用sqlmap工具检测查看是否有注入点;基于Token破解 由于token值输出在前端源代码中,容易被获取,因此也就失去了防暴力破解的意义,一般Token在防止CSRF上会有比较好的功效。
JAVA版暴力破解验证码
p0x2015的博客
07-15 6471
带有验证码暴力破解、原理很简单,调用开源TESTOCR识别验证码   package www; import java.io.BufferedReader; import java.io.File; import java.io.FileOutputStream; import java.io.FileReader; import java.io.IOException; impo
暴力破解验证码安全
songbai220
12-10 749
暴力破解验证码安全 暴力破解注意事项 1、破解前一定要有一个有效的字典(Top100 Top2000 csdn QQ 163邮箱等密码) 2、判断用户是否设置了复杂密码 前端正常注册,看密码设置是否有复杂度限制 3、网站是否存在验证码 如果存在验证码,看验证码有效性,是一次性还是可以无限制使用 4、尝试登录的行为是否有限制 无限制才能方便破解 5、网站是否双因素认证 是否存在token值 验证码等 登陆页面可能产生哪些漏洞 SQL注入点及万能密码登录 不安全的用户提示,一般提示用户名不存在
pikachu练习---暴力破解-验证码
ptxybird的博客
06-15 2560
pikachu-暴力破解-验证码绕过及token练习
暴力破解验证码安全之——暴力猜解概述
温柔小薛的博客
04-14 1873
暴力猜解概述 暴力猜解简单来说就是将密码进行逐个推算,直到找出真正的密码为止 暴力破解注意事项 破解前一定要有一个有郊的字典(Top100 TOP2000 csdn QQ 163等密码);判断用户是否设置了复杂的密码、网站是否存在验证码、尝试登录的行为是否有限制、网站是否双因素认证(等保中对管理员后台的要求,例如只允许某个IP访问,通过堡垒机,手机短信等)、Token值等等 对目标网站进行注册,...
暴力破解验证码绕过、token防爆破】靶场实验
11-03 3560
本文主要介绍了以pikachu靶场为例,使用BurpSuite工具暴力破解验证码绕过、token防爆破】3种类型的实验。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Cllmsy_K

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值