hacktricks/pentesting-web/captcha-bypass.md

Captcha Bypass

{% hint style="success" %} Aprenda e pratique Hacking na AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking no GCP: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

• Confira os planos de assinatura!
• Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
• Compartilhe truques de hacking enviando PRs para os repositórios do HackTricks e HackTricks Cloud.

{% endhint %}

Captcha Bypass

Para burlar o captcha durante os testes de servidor e automatizar funções de entrada de usuário, várias técnicas podem ser empregadas. O objetivo não é comprometer a segurança, mas agilizar o processo de teste. Aqui está uma lista abrangente de estratégias:

1. Manipulação de Parâmetros:

• Omitir o Parâmetro Captcha: Evite enviar o parâmetro captcha. Experimente mudar o método HTTP de POST para GET ou outros verbos, e alterar o formato dos dados, como alternar entre dados de formulário e JSON.
• Enviar Captcha Vazio: Envie a solicitação com o parâmetro captcha presente, mas deixado vazio.

2. Extração e Reutilização de Valores:

• Inspeção de Código Fonte: Procure o valor do captcha dentro do código fonte da página.
• Análise de Cookies: Examine os cookies para descobrir se o valor do captcha está armazenado e sendo reutilizado.
• Reutilizar Valores de Captcha Antigos: Tente usar valores de captcha que foram bem-sucedidos anteriormente. Lembre-se de que eles podem expirar a qualquer momento.
• Manipulação de Sessão: Tente usar o mesmo valor de captcha em diferentes sessões ou o mesmo ID de sessão.

3. Automação e Reconhecimento:

• Captchas Matemáticos: Se o captcha envolve operações matemáticas, automatize o processo de cálculo.
• Reconhecimento de Imagem:
• Para captchas que exigem a leitura de caracteres de uma imagem, determine manual ou programaticamente o número total de imagens únicas. Se o conjunto for limitado, você pode identificar cada imagem pelo seu hash MD5.
• Utilize ferramentas de Reconhecimento Óptico de Caracteres (OCR) como Tesseract OCR para automatizar a leitura de caracteres a partir de imagens.

4. Técnicas Adicionais:

• Teste de Limite de Taxa: Verifique se a aplicação limita o número de tentativas ou envios em um determinado período e se esse limite pode ser burlado ou redefinido.
• Serviços de Terceiros: Utilize serviços ou APIs de resolução de captcha que oferecem reconhecimento e solução automatizados de captcha.
• Rotação de Sessão e IP: Mude frequentemente os IDs de sessão e endereços IP para evitar detecção e bloqueio pelo servidor.
• Manipulação de User-Agent e Cabeçalhos: Altere o User-Agent e outros cabeçalhos de solicitação para imitar diferentes navegadores ou dispositivos.
• Análise de Captcha de Áudio: Se uma opção de captcha de áudio estiver disponível, use serviços de conversão de fala em texto para interpretar e resolver o captcha.

Serviços Online para resolver captchas

Capsolver

O solucionador automático de captcha do Capsolver oferece uma solução de resolução de captcha acessível e rápida. Você pode rapidamente integrá-lo ao seu programa usando sua opção de integração simples para obter os melhores resultados em questão de segundos. Ele pode resolver reCAPTCHA V2 e V3, hCaptcha, FunCaptcha, datadome, aws captcha, imagem-para-texto, captcha da binance / coinmarketcap, geetest v3, e mais. No entanto, isso não é uma burla por si só.

{% hint style="success" %} Aprenda e pratique Hacking na AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking no GCP: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

• Confira os planos de assinatura!
• Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
• Compartilhe truques de hacking enviando PRs para os repositórios do HackTricks e HackTricks Cloud.

{% endhint %}