验证码识别Burp reCAPTCHA插件使用
介绍
Burp的reCAPTCHA也可用来识别验证码,github地址:https://github.com/bit4woo/reCAPTCHA,下载相应的jar包添加到burp中,位置在extender-extensions-add下,添加成功后burp模块栏会多出reCAPTCHA一栏,如下图。
使用
拦截相应的验证码数据包,这里注意的是,不是登录数据包,二是验证码请求数据包,然后直接右键发送到reCAPTCHA模块,如下图。
发送到recaptcha后:
第一步,左上角框部分为验证码包,数据包发送过来后自动填充,不用管。
第二步:左下角用来获取验证码包所产生验证码图片的地址,点击get inage获取,如果提示Response cannot be null错误,文档上说是网络或超时等问题,我这里建议大家把burp关掉重新开一下。
第三步:右上角为接口配置,recaptcha爆破验证码需要调用第三方接口,到目前为止提供了三个接口,分别是gsa captcha breaker、ysdm、jsdati,如下图。
Gsa是一个收费软件需要装在机器上然后开启web服务,这个选择后,填入服务器地址即可,可以装在本地,有人说识别率不是很高,这个应该有免费体验几天的时间,感兴趣可以试试。
然后是ysdm,这个网址目前打不开,vpn也不行,没有试,我这里试的是jsdati,把%s换成相应的参数值即可,如下图。
第四步:最后点击右下角的get answer来获取识别结果,可识别后就可以使用intruder和recaptcha结合进行验证码识别爆破。
使用intruder爆破有两种情况,一是用户名或密码之一+验证码;二是用户名+密码+验证码;github文档有操作说明,这里不多说了,以第一种为例,使用pitchfork交叉模式,四种模式说明在另一篇在线破解文档中说过,大家可参考。
以上设置完后就可以开始爆破了,2的extension-generated的payload会调用recaptcha插件识别,把值传入,这里我不放截图了,试了几次都返回空,使用体验不是很好,方法就是以上步骤,大家感兴趣可以试试。
公众号推荐:aFa攻防实验室
分享关于信息搜集、Web安全、内网安全、代码审计、红蓝对抗、Java、Python等方面的东西。
http://www.taodudu.cc/news/show-969940.html
相关文章:
- BurpSuite插件 -- Struts2-RCE
- Burpsuite爆破含CSRF-Token的程序
- 正则表达式贪婪与非贪婪模式
- 任意文件读取及删除漏洞
- 从JS敏感信息泄露到GETSHELL
- 实战|全程分析js到getshell
- 多家防火墙设备存在信息泄露漏洞
- php boolean 全大写还是全小写,【PHP培训】PHP为什么大小写规则是如此不规则?
- Web安全-伪静态网页
- php双引号解析漏洞
- 代码审计之SQL注入:BlueCMSv1.6 sp1
- 目录扫描工具dirsearch用法
- CSRF的绕过与利用
- JWT攻击手册
- CORS同源策略
- JSFinder—从js文件中寻找敏感接口和子域名
- 真香系列-JSFinder实用改造
- docker部署nessus+awvs
- sqlmap (--os-shell)的使用
- Spring Boot框架敏感信息泄露的完整介绍与SRC实战(附专属字典与PoC)
- 从外网Thinkphp3日志泄露到杀入内网域控 - 红队攻击之域内靶机渗透实战演练
- 记一次应急响应到溯源入侵者
- 记一次CNVD通用漏洞审计
- Fofa搜索技巧
- Shiro-550反序列化漏洞复现
- IIS-ShortName-Scanner使用
- kali NETCAT NC的使用
- centos8如何安装yum源(详细步骤)
- vulhub安装教程
- WebCrack:网站后台弱口令批量检测工具
验证码识别Burp reCAPTCHA插件使用相关推荐
- Burpsuite验证码识别插件 “captcha-killer-modified“ 使用教程(详细)
插件说明: 一款适用于Burp的验证码识别插件 项目地址:https://github.com/f0ng/captcha-killer-modified 步骤概述 下载captcha-killer-m ...
- java自动识别图片验证码插件_JMeter开发插件——图片验证码识别
我们在性能测试中总会时不时地遭遇到来自于应用系统的各种阻碍,图片验证码就是一类最常见的束缚,登录或交易时需要按照图片中的内容输入正确的验证信息后,数据才可以提交成功,这使得许多性能测试工具只能望而却步 ...
- 按键精灵+大漠插件简单数字验证码识别实践笔记
因为资源短缺,公司用了一个很老的系统分配资源,每个项目每天都要经历上演一次像抢火车票一样的经历,而往往又空手而归,搞得大家疲惫不堪.而其中的关键在于几个简单的数字验证码的识别,于是在业余时间看了一些验 ...
- 暴力破解之验证码识别
文章目录 背景 操作步骤 1.安装python模块 2.安装Captcha-killer模块 3.尝试进行验证码识别 背景 渗透测试过程中,现在验证码越来越多,这对测试的时候遇到的阻力不小,一位大佬给 ...
- 结合验证码识别的暴力破解
```2023年将会持续于B站.CSDN等各大平台更新,可加入粉丝群与博主交流:838681355,为了老板大G共同努力.``` 一.前言 带有验证码的登录口如何做暴力破解行为,本文采用Pkav HT ...
- 提交调用验证_干货丨RPA验证码识别技巧
验证码是RPA流程自动化中经常碰到的问题.比如进行网页或者客户端登录的时候,或者提交数据查验都有可能碰到验证码. 验证码的类型也各式各样:纯数字.英文数字.英数汉等,且一般验证码上面都有干扰因素存在( ...
- 图像学习-验证码识别
北京 上海巡回站 | NVIDIA DLI深度学习培训2018年1月26/1月12日 NVIDIA 深度学习学院 带你快速进入火热的DL领域 阅读全文 正文共7318个字,11张图,预计阅读时间19分 ...
- java 识别图片 边框_atitit.验证码识别step3----去除边框---- 图像处理类库 attilax总结java版本...
atitit.验证码识别step3----去除边框----图像处理类库 attilax总结java版本 1. 去除边框思路原理 图像裁剪::从图片的Positions.CENTER,wid,hit)裁 ...
- 图片验证码识别-自动登录工具开发
涉及工具技术 Tampermonkey jQuery Tesseract-OCR Flask Pillow 前言 开发软件系统时必然会有用户登陆的模块.每次验证自己的功能时,总是绕不开输入账号密码,这 ...
最新文章
- mybatis-错误记录java.lang.ExceptionInInitializerError
- HTTP第一篇——搭建
- 下面使用计算机动画制作的,2020年最新电大《计算机二维动画制作》形考作业任务01-03网考试题及答案(10页)-原创力文档...
- 谭浩强课后题之----求阶乘和
- 轻松掌握Ajax.net系列教程
- 海量数据处理分析_BI
- 【K8S学习笔记】Part1:使用端口转发访问集群内的应用
- 设为首页 和 收藏本站js代码 兼容IE,chrome,ff
- 酷黑风个人主页+引导页
- python将图片转动漫_python实现了照片转化为动漫模式
- 后代选择+++margin-right:auto
- NexentaStor iSCSI/ NAS 存储服务器软件图解教程(3)——NMV快速上手指南Part2
- DotNetBar 5.9 with Office 2007 style controls Released,Are you ready? cracked perfectly!
- ColorZilla|网页颜色颜色提取
- 舍得网-开发问题(学习别人经验)
- 物联网核心技术射频识别技术,传感技术,网络通信技术、嵌入式系统技术和云计算的基本介绍
- kubernetes集群中的port、targetPort、nodePort和containerPort区别
- 【高等数学笔记】多元向量值函数的导数与微分
- 卸载ubuntu系统,恢复win10单系统【win10+Ubuntu20.04双系统】
- vimium 成神之路-键盘党的胜利
热门文章
- c语言构造报文,构造一个缓冲区溢出的C语言的例子
- 编写一个watchdog.sh脚本_五大原因!为何要将Jupyter Notebook转换为python脚本?
- ddos攻击工具_简单有效的ddos攻击防御方法
- typora导出word指定样式_(二)最简洁的Markdowd编辑器:Typora
- 数学史思维导图_【学科活动】思维导图展风采,数学文化提素养——庆云县第四中学(北校区)四年级数学组活动小记...
- java中 private final_Java笔记:final与private关键字
- MATLAB中,信号的频谱图该怎么绘制?横坐标如何标注出频率值?
- 删除文件夹下所有的文件_VB删除文件和文件夹的方法
- 学习activemq,在spring中activemq的配置信息
- 软考解析:2014年下半年下午试题