登录接口验证码识别爆破

admin

137435
文章

113
评论

2023年10月19日17:29:11评论55 views字数 1352阅读4分30秒阅读模式

在渗透测试中我们可能遇到如下的验证码。

登录接口验证码识别爆破

很漂亮的验证码，可以进行图像识别

burpsuite现在常用的验证码识别的插件有

captcha-killer-modified：https://github.com/f0ng/captcha-killer-modified

下载后，在extender模块加载

登录接口验证码识别爆破

下载py文件，

登录接口验证码识别爆破

识别模板如下：

POST /reg HTTP/1.1Host: 127.0.0.1:8888Connection: closeCache-Control: max-age=0Authorization: Basic f0ngauthUpgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.132 Safari/537.36Sec-Fetch-Mode: navigateSec-Fetch-User: ?1Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3Sec-Fetch-Site: noneAccept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Content-Type: application/x-www-form-urlencodedContent-Length: 55
<@BASE64><@IMG_RAW></@IMG_RAW></@BASE64>

注意：如果在运行的时候报如下错误

AttributeError: module 'PIL.Image' has no attribute 'ANTIALIAS'

登录接口验证码识别爆破

解决办法参考：

https://baijiahao.baidu.com/s?id=1775432196700665405&wfr=spider&for=pc

方案一，修改ddddocr的_init_.py文件，将其中的ANTIALIAS替换为新方法：

# image = image.resize((int(image.size[0] * (64 / image.size[1])), 64), Image.ANTIALIAS).convert('L')image = image.resize((int(image.size[0] * (64 / image.size[1])), 64), Image.LANCZOS).convert('L')

方案二，降级Pillow的版本，比如使用9.5.0版本

先卸载，再重新安装

pip uninstall -y Pillow

pip install Pillow==9.5.0

登录接口验证码识别爆破

注意，插件要勾选使用

登录接口验证码识别爆破

参考链接

https://mp.weixin.qq.com/s/R9AN2v66Mc7t5BlHFR9_0Q

https://mp.weixin.qq.com/s/_P6OlL1xQaYSY1bvZJL4Uw

原文始发于微信公众号（进击的HACK）：登录接口验证码识别爆破

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

登录接口验证码识别爆破

Vulnhub-靶机-Oz。一台让人做呕的靶机，不要换平台打靶机

Web登录一把梭

Hackable_III

Vulnerable Docker 1靶机通关教学

xss靶场

PoC 针对 Ingress NGINX 漏洞编号 CVE-2025-1097、1098、24514、1974

实战-菠菜通杀

攻防实战|记一次和安全产品贴身肉搏

【红队思路】钓鱼-资源捆绑Bypass国内AV

Src高危实战记录

发表评论

在线咨询

微信