hacktricks/pentesting-web/captcha-bypass.md

# Bypass do Captcha

<details>

<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Outras formas de apoiar o HackTricks:

* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.

</details>

## Bypass do Captcha

Para **burlar** o captcha durante o **teste do servidor** e automatizar funções de entrada de usuário, várias técnicas podem ser empregadas. O objetivo não é comprometer a segurança, mas agilizar o processo de teste. Aqui está uma lista abrangente de estratégias:

1. **Manipulação de Parâmetros**:
* **Omitir o Parâmetro do Captcha**: Evite enviar o parâmetro do captcha. Experimente alterar o método HTTP de POST para GET ou outros verbos, e alterar o formato dos dados, como alternar entre dados de formulário e JSON.
* **Enviar Captcha Vazio**: Envie a solicitação com o parâmetro do captcha presente, mas deixe-o vazio.

2. **Extração e Reutilização de Valores**:
* **Inspeção do Código Fonte**: Procure o valor do captcha dentro do código fonte da página.
* **Análise de Cookies**: Examine os cookies para verificar se o valor do captcha está armazenado e reutilizado.
* **Reutilizar Valores Antigos de Captcha**: Tente usar novamente valores de captcha anteriormente bem-sucedidos. Lembre-se de que eles podem expirar a qualquer momento.
* **Manipulação de Sessão**: Tente usar o mesmo valor de captcha em diferentes sessões ou no mesmo ID de sessão.

3. **Automatização e Reconhecimento**:
* **Captchas Matemáticos**: Se o captcha envolver operações matemáticas, automatize o processo de cálculo.
* **Reconhecimento de Imagem**:
* Para captchas que exigem a leitura de caracteres de uma imagem, determine manualmente ou programaticamente o número total de imagens únicas. Se o conjunto for limitado, você pode identificar cada imagem pelo seu hash MD5.
* Utilize ferramentas de Reconhecimento Óptico de Caracteres (OCR) como [Tesseract OCR](https://github.com/tesseract-ocr/tesseract) para automatizar a leitura de caracteres em imagens.

4. **Técnicas Adicionais**:
* **Teste de Limite de Taxa**: Verifique se a aplicação limita o número de tentativas ou envios em um determinado período de tempo e se esse limite pode ser burlado ou redefinido.
* **Serviços de Terceiros**: Utilize serviços de resolução de captchas ou APIs que oferecem reconhecimento e resolução automatizados de captchas.
* **Rotação de Sessão e IP**: Altere frequentemente os IDs de sessão e os endereços IP para evitar detecção e bloqueio pelo servidor.
* **Manipulação de User-Agent e Cabeçalhos**: Altere o User-Agent e outros cabeçalhos de solicitação para imitar diferentes navegadores ou dispositivos.
* **Análise de Captcha de Áudio**: Se uma opção de captcha de áudio estiver disponível, utilize serviços de conversão de fala em texto para interpretar e resolver o captcha.


## Serviços Online para resolver captchas

### [Capsolver](https://www.capsolver.com/)

O resolvedor automático de captchas da Capsolver oferece uma **solução acessível e rápida para resolver captchas**. Você pode integrá-lo rapidamente ao seu programa usando sua opção de integração simples para obter os melhores resultados em questão de segundos. Ele pode resolver reCAPTCHA V2 e V3, hCaptcha, FunCaptcha, datadome, aws captcha, picture-to-text, binance / coinmarketcap captcha, geetest v3 e muito mais. No entanto, isso não é exatamente um bypass.
Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 04:06:53 +00:00			`# Bypass do Captcha`
Translated to Portuguese 2023-06-06 18:56:34 +00:00
Translated ['README.md', 'generic-methodologies-and-resources/pentesting 2023-07-30 23:05:44 +00:00			`<details>`

Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 04:06:53 +00:00			`<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>`
Translated ['README.md', 'generic-methodologies-and-resources/pentesting 2023-07-30 23:05:44 +00:00
Translated ['pentesting-web/captcha-bypass.md', 'pentesting-web/client-s 2024-03-10 13:31:44 +00:00			`Outras formas de apoiar o HackTricks:`
Translated ['network-services-pentesting/pentesting-web/README.md', 'net 2023-12-31 02:51:55 +00:00
Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 04:06:53 +00:00			`* Se você deseja ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF Confira os [PLANOS DE ASSINATURA](https://github.com/sponsors/carlospolop)!`
			`* Adquira o [swag oficial PEASS & HackTricks](https://peass.creator-spring.com)`
			`* Descubra [A Família PEASS](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [NFTs](https://opensea.io/collection/the-peass-family)`
Translated ['mobile-pentesting/ios-pentesting/ios-protocol-handlers.md', 2024-02-09 08:09:41 +00:00			`* Junte-se ao 💬 [grupo Discord](https://discord.gg/hRep4RUj7f) ou ao [grupo telegram](https://t.me/peass) ou siga-nos no Twitter 🐦 [@carlospolopm](https://twitter.com/hacktricks_live).`
Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 04:06:53 +00:00			`* Compartilhe seus truques de hacking enviando PRs para os [HackTricks](https://github.com/carlospolop/hacktricks) e [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.`
Translated ['README.md', 'generic-methodologies-and-resources/pentesting 2023-07-30 23:05:44 +00:00
			`</details>`

Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 04:06:53 +00:00			`## Bypass do Captcha`
Translated ['README.md', 'generic-methodologies-and-resources/pentesting 2023-07-30 23:05:44 +00:00
Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 04:06:53 +00:00			`Para burlar o captcha durante o teste do servidor e automatizar funções de entrada de usuário, várias técnicas podem ser empregadas. O objetivo não é comprometer a segurança, mas agilizar o processo de teste. Aqui está uma lista abrangente de estratégias:`
Translated to Portuguese 2023-06-06 18:56:34 +00:00
Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 04:06:53 +00:00			`1. Manipulação de Parâmetros:`
			`* Omitir o Parâmetro do Captcha: Evite enviar o parâmetro do captcha. Experimente alterar o método HTTP de POST para GET ou outros verbos, e alterar o formato dos dados, como alternar entre dados de formulário e JSON.`
Translated ['pentesting-web/captcha-bypass.md', 'pentesting-web/client-s 2024-03-10 13:31:44 +00:00			`* Enviar Captcha Vazio: Envie a solicitação com o parâmetro do captcha presente, mas deixe-o vazio.`
Translated ['README.md', 'generic-methodologies-and-resources/pentesting 2023-07-30 23:05:44 +00:00
Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 04:06:53 +00:00			`2. Extração e Reutilização de Valores:`
			`* Inspeção do Código Fonte: Procure o valor do captcha dentro do código fonte da página.`
			`* Análise de Cookies: Examine os cookies para verificar se o valor do captcha está armazenado e reutilizado.`
Translated ['pentesting-web/captcha-bypass.md', 'pentesting-web/client-s 2024-03-10 13:31:44 +00:00			`* Reutilizar Valores Antigos de Captcha: Tente usar novamente valores de captcha anteriormente bem-sucedidos. Lembre-se de que eles podem expirar a qualquer momento.`
Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 04:06:53 +00:00			`* Manipulação de Sessão: Tente usar o mesmo valor de captcha em diferentes sessões ou no mesmo ID de sessão.`
Translated ['README.md', 'generic-methodologies-and-resources/pentesting 2023-07-30 23:05:44 +00:00
Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 04:06:53 +00:00			`3. Automatização e Reconhecimento:`
Translated ['pentesting-web/captcha-bypass.md', 'pentesting-web/client-s 2024-03-10 13:31:44 +00:00			`* Captchas Matemáticos: Se o captcha envolver operações matemáticas, automatize o processo de cálculo.`
Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 04:06:53 +00:00			`* Reconhecimento de Imagem:`
			`* Para captchas que exigem a leitura de caracteres de uma imagem, determine manualmente ou programaticamente o número total de imagens únicas. Se o conjunto for limitado, você pode identificar cada imagem pelo seu hash MD5.`
			`* Utilize ferramentas de Reconhecimento Óptico de Caracteres (OCR) como [Tesseract OCR](https://github.com/tesseract-ocr/tesseract) para automatizar a leitura de caracteres em imagens.`
Translated ['README.md', 'generic-methodologies-and-resources/pentesting 2023-07-30 23:05:44 +00:00
Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 04:06:53 +00:00			`4. Técnicas Adicionais:`
			`* Teste de Limite de Taxa: Verifique se a aplicação limita o número de tentativas ou envios em um determinado período de tempo e se esse limite pode ser burlado ou redefinido.`
Translated ['pentesting-web/captcha-bypass.md', 'pentesting-web/client-s 2024-03-10 13:31:44 +00:00			`* Serviços de Terceiros: Utilize serviços de resolução de captchas ou APIs que oferecem reconhecimento e resolução automatizados de captchas.`
Translated ['mobile-pentesting/ios-pentesting/ios-protocol-handlers.md', 2024-02-09 08:09:41 +00:00			`* Rotação de Sessão e IP: Altere frequentemente os IDs de sessão e os endereços IP para evitar detecção e bloqueio pelo servidor.`
Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 04:06:53 +00:00			`* Manipulação de User-Agent e Cabeçalhos: Altere o User-Agent e outros cabeçalhos de solicitação para imitar diferentes navegadores ou dispositivos.`
			`* Análise de Captcha de Áudio: Se uma opção de captcha de áudio estiver disponível, utilize serviços de conversão de fala em texto para interpretar e resolver o captcha.`
Translated ['README.md', 'generic-methodologies-and-resources/pentesting 2023-07-30 23:05:44 +00:00

Translated ['pentesting-web/captcha-bypass.md', 'pentesting-web/client-s 2024-03-10 13:31:44 +00:00			`## Serviços Online para resolver captchas`
Translated ['README.md', 'generic-methodologies-and-resources/pentesting 2023-07-30 23:05:44 +00:00
Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 04:06:53 +00:00			`### [Capsolver](https://www.capsolver.com/)`
Translated ['network-services-pentesting/pentesting-web/README.md', 'net 2023-12-31 02:51:55 +00:00
Translated ['pentesting-web/captcha-bypass.md', 'pentesting-web/client-s 2024-03-10 13:31:44 +00:00			`O resolvedor automático de captchas da Capsolver oferece uma solução acessível e rápida para resolver captchas. Você pode integrá-lo rapidamente ao seu programa usando sua opção de integração simples para obter os melhores resultados em questão de segundos. Ele pode resolver reCAPTCHA V2 e V3, hCaptcha, FunCaptcha, datadome, aws captcha, picture-to-text, binance / coinmarketcap captcha, geetest v3 e muito mais. No entanto, isso não é exatamente um bypass.`