1. 验证码复用,账号密码请求登录后,验证码还能够不刷新继续使用。导致验证码绕过。
5. 脚本匹配,针对验证码返回到前端或者返回包中的。可以使用正则匹配来绕过。
import requestsimport redef codetest():url = "https://xxxxxxxxx"headers = {"User-Agent": "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.198 Safari/537.36"}response = requests.get(url,headers=headers)res = re.findall('(.*?)</div>',response.content.decode(encoding="utf-8"))print(res)if __name__ == "__main__":codetest()
6. 验证码识别,识别URL同步的验证码。详情可以看B站视频:
https://www.bilibili.com/video/BV15B4y1a7hZ
7. 验证码并发,之前无意在测试绕过验证码的时候,把验证码并发请求后。那个并发后的验证码依然可以继续使用。
8. 验证码值可控,传参的时候验证码可控于自己设置的值。
还有很多种绕过方式比如说修改返回等等,自己还研究了其他几种笔记没在这台电脑就随意分享部分出来。希望能够提供到帮助需要测试上面验证码靶场的可以关注公众号或者添加微信私发。
视频地址:https://www.bilibili.com/video/BV1u84y1i7zR
欢迎关注,长期免费公开课。
欢迎添加投稿咨询。稿费100-1500元
原文始发于微信公众号(四季信安):挖洞思路 | 我常用的绕过图形验证码思路
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论