Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-24 13:43:24 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/pentesting-web/captcha-bypass.md

64 lines
5.4 KiB
Markdown
Raw Blame History

# Captcha Bypass
{% hint style="success" %}
Aprenda e pratique Hacking na AWS:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Aprenda e pratique Hacking no GCP: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary>Support HackTricks</summary>
* Confira os [**planos de assinatura**](https://github.com/sponsors/carlospolop)!
* **Junte-se ao** 💬 [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga**-nos no **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe truques de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
{% endhint %}
## Captcha Bypass
Para **burlar** o captcha durante os **testes de servidor** e automatizar funções de entrada de usuário, várias técnicas podem ser empregadas. O objetivo não é comprometer a segurança, mas agilizar o processo de teste. Aqui está uma lista abrangente de estratégias:
1. **Manipulação de Parâmetros**:
* **Omitir o Parâmetro Captcha**: Evite enviar o parâmetro captcha. Experimente mudar o método HTTP de POST para GET ou outros verbos, e alterar o formato dos dados, como alternar entre dados de formulário e JSON.
* **Enviar Captcha Vazio**: Envie a solicitação com o parâmetro captcha presente, mas deixado vazio.
2. **Extração e Reutilização de Valores**:
* **Inspeção de Código Fonte**: Procure o valor do captcha dentro do código fonte da página.
* **Análise de Cookies**: Examine os cookies para descobrir se o valor do captcha está armazenado e sendo reutilizado.
* **Reutilizar Valores de Captcha Antigos**: Tente usar valores de captcha que foram bem-sucedidos anteriormente. Lembre-se de que eles podem expirar a qualquer momento.
* **Manipulação de Sessão**: Tente usar o mesmo valor de captcha em diferentes sessões ou o mesmo ID de sessão.
3. **Automação e Reconhecimento**:
* **Captchas Matemáticos**: Se o captcha envolve operações matemáticas, automatize o processo de cálculo.
* **Reconhecimento de Imagem**:
* Para captchas que exigem a leitura de caracteres de uma imagem, determine manual ou programaticamente o número total de imagens únicas. Se o conjunto for limitado, você pode identificar cada imagem pelo seu hash MD5.
* Utilize ferramentas de Reconhecimento Óptico de Caracteres (OCR) como [Tesseract OCR](https://github.com/tesseract-ocr/tesseract) para automatizar a leitura de caracteres a partir de imagens.
4. **Técnicas Adicionais**:
* **Teste de Limite de Taxa**: Verifique se a aplicação limita o número de tentativas ou envios em um determinado período e se esse limite pode ser burlado ou redefinido.
* **Serviços de Terceiros**: Utilize serviços ou APIs de resolução de captcha que oferecem reconhecimento e solução automatizados de captcha.
* **Rotação de Sessão e IP**: Mude frequentemente os IDs de sessão e endereços IP para evitar detecção e bloqueio pelo servidor.
* **Manipulação de User-Agent e Cabeçalhos**: Altere o User-Agent e outros cabeçalhos de solicitação para imitar diferentes navegadores ou dispositivos.
* **Análise de Captcha de Áudio**: Se uma opção de captcha de áudio estiver disponível, use serviços de conversão de fala em texto para interpretar e resolver o captcha.
## Serviços Online para resolver captchas
### [Capsolver](https://www.capsolver.com/)
O solucionador automático de captcha do Capsolver oferece uma **solução de resolução de captcha acessível e rápida**. Você pode rapidamente integrá-lo ao seu programa usando sua opção de integração simples para obter os melhores resultados em questão de segundos. Ele pode resolver reCAPTCHA V2 e V3, hCaptcha, FunCaptcha, datadome, aws captcha, imagem-para-texto, captcha da binance / coinmarketcap, geetest v3, e mais. No entanto, isso não é uma burla por si só.
{% hint style="success" %}
Aprenda e pratique Hacking na AWS:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Aprenda e pratique Hacking no GCP: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary>Support HackTricks</summary>
* Confira os [**planos de assinatura**](https://github.com/sponsors/carlospolop)!
* **Junte-se ao** 💬 [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga**-nos no **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe truques de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
{% endhint %}
Reference in a new issue View git blame Copy permalink