吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 6069|回复: 42
收起左侧

[Windows] burpsutie爆破自动识别验证码(亲测)

  [复制链接]
PrimerBlack 发表于 2024-7-16 14:19

1.针对情况

在爆破账户口令时,每一次爆破请求都会刷新一次验证码,需要burp自动识别验证码并传入请求中。

2.测试环境

BurpSuite专业版 v2023.5.1
captcha-killer-modified-0.24.2-jdk8验证码识别插件
captcha-killer-modified-0.24.2验证码处理接口

3.配置步骤

3.1选择与运行本地burpsuite的jdk版本一致的插件

我的电脑的jdk版本为1.8

1

1

3.2BurpSuite安装插件

进入burpsuite界面,点击扩展,随后点击添加:

2

2
随后点击添加里的选择文件,选择下载到本地的验证码识别插件jar包:

3

3

添加完成后的提示:

4

4

3.3配置验证码处理接口

将captcha-killer-modified-0.24.2.zip验证码处理接口代码文件解压到本地,进入源码目录,输入以下代码,安装所需依赖:

#step1
pip install -r requirements

#step2
pip install ddddocr aiohttp

安装完成后,进入源码目录,运行codereg.py:

python codereg.py

5

5

4.实战操作

访问一个带有验证码登录的网站,找到其获取验证码的接口:

6

6
首先bp开启抓包,在输入用户名、密码等信息后,在代{过}{滤}理-》HTTP历史记录里找到验证码接口:

7

7

然后将此包发送到captcha panel(点击Send to captcha panel)

8

8

接着在captcha panel配置接口信息:

9

9

分为验证码URL和接口URL,验证码URL即为调用验证码接口的主域,接口URL即为我们配置的验证码处理接口,然后先点击验证码URL旁的获取,得到一个验证码,再点击接口URL旁的识别,可在右侧发现已经完成识别。

5.配合intruder爆破操作

在密码和验证码处添加payload(爆破的数据包里面的SessionID要和验证码识别接口处的SessionID一致):

10

10
然后在payload处,设置payload2调用验证码识别插件:

11

11

接下来设置资源池:

12

12

设置一秒一个请求(可以自行尝试多个请求,1秒1个请求已经很低了,正常测试不会那么低)是防止验证码处理较慢,防止一个验证码被多次请求使用,最后点击开始攻击。

13

13

可以看到成功开始识别验证码,也可以在captcha panel处看到识别记录:

14

14

6.验证码长度问题

如果验证码长度不是4位,可以修改codereg.py里的验证码长度,如下图:

15

15
修改为[0:6]即可开始识别6位的验证码。
附件:
captcha-killer-modified-0.24.2.zip
captcha-killer-modified-0.24.2-jdk8.jar

下载链接.txt

345 Bytes, 下载次数: 75, 下载积分: 吾爱币 -1 CB

免费评分

参与人数 8吾爱币 +7 热心值 +6 收起 理由
turinggu + 1 + 1 谢谢@Thanks!
binghe01 + 1 + 1 真的可以的
jamessteed + 1 + 1 用心讨论,共获提升!
nndyky + 1 + 1 鼓励转贴优秀软件安全工具和文档!
way824325223 + 1 谢谢@Thanks!
Yukeer666 + 1 热心回复!
gqdsc + 1 这个非常厉害啊
蓦留 + 1 + 1 用心讨论,共获提升!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| PrimerBlack 发表于 2024-7-30 12:23
yaov5 发表于 2024-7-29 17:02
大佬,地址过期了

【超级会员V3】通过百度网盘分享的文件:captcha-killer-modified-0.24.2.zip
链接:https://pan.baidu.com/s/1i_JZoBSk40wtdzfzduTO6Q?pwd=xtub
提取码:xtub

【超级会员V3】通过百度网盘分享的文件:captcha-killer-modified-0.24.2-jdk8.jar
链接:https://pan.baidu.com/s/1S7Ur-rsbtXPuo-To0bRFHA?pwd=xtub
提取码:xtub
 楼主| PrimerBlack 发表于 2024-7-16 16:59
蓦留 发表于 2024-7-16 16:50
刚才看不到图,现在图片正常了

说来奇怪,把md格式去掉后正常了,不过为什么在md写好粘贴在帖子md编辑器后,我自己能正常浏览,别人就不行~
调味包 发表于 2024-7-16 15:28
奇客 发表于 2024-7-16 15:30
2楼占位,图片不显示
海是倒过来的天 发表于 2024-7-16 15:33
图片挂了
kll545012 发表于 2024-7-16 16:05
图片呢?
 楼主| PrimerBlack 发表于 2024-7-16 16:09
在补,怎么我这里显示是正常的
 楼主| PrimerBlack 发表于 2024-7-16 16:10
甚至还有吾爱的水印
52pojie.png
L__ 发表于 2024-7-16 16:41
识别度多少哦
蓦留 发表于 2024-7-16 16:50
刚才看不到图,现在图片正常了
 楼主| PrimerBlack 发表于 2024-7-16 16:57

thread为1的时候基本上不出错,多线程可能会影响识别
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-15 18:57

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表