hacktricks/pentesting-web/captcha-bypass.md

49 lines
7 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# Παράκαμψη Captcha
<details>
<summary><strong>Μάθετε το χάκινγκ στο AWS από το μηδέν μέχρι τον ήρωα με το</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (Ειδικός Red Team του HackTricks AWS)</strong></a><strong>!</strong></summary>
Άλλοι τρόποι υποστήριξης του HackTricks:
* Αν θέλετε να δείτε την **εταιρεία σας διαφημισμένη στο HackTricks** ή να **κατεβάσετε το HackTricks σε μορφή PDF** ελέγξτε τα [**ΣΧΕΔΙΑ ΣΥΝΔΡΟΜΗΣ**](https://github.com/sponsors/carlospolop)!
* Αποκτήστε το [**επίσημο PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Ανακαλύψτε [**την Οικογένεια PEASS**](https://opensea.io/collection/the-peass-family), τη συλλογή μας από αποκλειστικά [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Εγγραφείτε** στην 💬 [**ομάδα Discord**](https://discord.gg/hRep4RUj7f) ή στην [**ομάδα τηλεγραφήματος**](https://t.me/peass) ή **ακολουθήστε** μας στο **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Μοιραστείτε τα χάκινγκ κόλπα σας υποβάλλοντας PRs** στα [**HackTricks**](https://github.com/carlospolop/hacktricks) και [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) αποθετήρια του GitHub.
</details>
## Παράκαμψη Captcha
Για να **παρακάμψετε** το captcha κατά τη διάρκεια της **δοκιμής του διακομιστή** και να αυτοματοποιήσετε τις λειτουργίες εισαγωγής χρήστη, μπορούν να χρησιμοποιηθούν διάφορες τεχνικές. Ο στόχος δεν είναι να υπονομεύσετε την ασφάλεια αλλά να βελτιώσετε τη διαδικασία δοκιμής. Εδώ υπάρχει μια περιεκτική λίστα στρατηγικών:
1. **Αλλοίωση Παραμέτρων**:
* **Παράλειψη της Παραμέτρου Captcha**: Αποφύγετε να στείλετε την παράμετρο captcha. Δοκιμάστε να αλλάξετε τη μέθοδο HTTP από POST σε GET ή άλλες ρήματα, και να αλλάξετε τη μορφή των δεδομένων, όπως η μετάβαση μεταξύ δεδομένων φόρμας και JSON.
* **Αποστολή Κενής Captcha**: Υποβάλετε το αίτημα με την παράμετρο captcha παρόν αλλά αφήστε την κενή.
2. **Εξαγωγή και Επαναχρησιμοποίηση Τιμών**:
* **Επιθεώρηση Κώδικα Πηγής**: Αναζητήστε την τιμή του captcha μέσα στον κώδικα πηγής της σελίδας.
* **Ανάλυση Cookies**: Εξετάστε τα cookies για να βρείτε αν η τιμή του captcha αποθηκεύεται και επαναχρησιμοποιείται.
* **Επαναχρησιμοποίηση Παλαιών Τιμών Captcha**: Δοκιμάστε να χρησιμοποιήσετε ξανά προηγουμένως επιτυχημένες τιμές captcha. Θυμηθείτε ότι μπορεί να λήξουν ανά πάσα στιγμή.
* **Αλλαγή Συνεδρίας**: Δοκιμάστε να χρησιμοποιήσετε την ίδια τιμή captcha σε διαφορετικές συνεδρίες ή το ίδιο αναγνωριστικό συνεδρίας.
3. **Αυτοματισμός και Αναγνώριση**:
* **Μαθηματικά Captchas**: Αν το captcha περιλαμβάνει μαθηματικές πράξεις, αυτοματοποιήστε τη διαδικασία υπολογισμού.
* **Αναγνώριση Εικόνας**:
* Για captchas που απαιτούν την ανάγνωση χαρακτήρων από μια εικόνα, καθορίστε χειροκίνητα ή προγραμματικά τον συνολικό αριθμό μοναδικών εικόνων. Αν το σύνολο είναι περιορισμένο, μπορείτε να αναγνωρίσετε κάθε εικόνα με το MD5 hash της.
* Χρησιμοποιήστε εργαλεία Οπτικής Αναγνώρισης Χαρακτήρων (OCR) όπως το [Tesseract OCR](https://github.com/tesseract-ocr/tesseract) για την αυτοματοποίηση της ανάγνωσης χαρακτήρων από εικόνες.
4. **Επιπλέον Τεχνικές**:
* **Έλεγχος Όρων Ρυθμού**: Ελέγξτε αν η εφαρμογή περιορίζει τον αριθμό των προσπαθειών ή υποβολών σε ένα συγκεκριμένο χρονικό διάστημα και εάν αυτό το όριο μπορεί να παρακαμφθεί ή επαναφερθεί.
* **Υπηρεσίες Τρίτων**: Χρησιμοποιήστε υπηρεσίες ή APIs επίλυσης captcha που προσφέρουν αυτόματη αναγνώριση και επίλυση captcha.
* **Περιστροφή Συνεδρίας και IP**: Αλλάξτε συχνά τα αναγνωριστικά συνεδρίας και τις διευθύνσεις IP για να αποφύγετε την ανίχνευση και το μπλοκάρισμα από τον διακομιστή.
* **Αλλαγή User-Agent και Κεφαλίδων**: Αλλάξτε τον User-Agent και άλλες κεφαλίδες αιτήματος για να μιμηθείτε διαφορετικούς περιηγητές ή συσκευές.
* **Ανάλυση Ήχου Captcha**: Αν υπάρχει διαθέσιμη επιλογή ήχου captcha, χρησιμοποιήστε υπηρεσίες μετατροπής ομιλίας σε κείμενο για την ερμηνεία και επίλυση του captcha.
## Online Υπηρεσίες για την επίλυση captchas
### [Capsolver](https://www.capsolver.com/)
Η αυτόματη λύση captcha της Capsolver προσφέρει μια **οικονομική και γρήγορη λύση captcha**. Μπορείτε γρήγορα να τη συνδυάσετε με το πρόγραμμά σας χρησιμοποιώντας την απλή επιλογή ενσωμάτωσης της για να επιτύχετε τα καλύτερα αποτελέσματα σε λίγα δευτερόλεπτα. Μπορεί να λύσει reCAPTCHA V2 και V3, hCaptcha, FunCaptcha, datadome, aws captcha, picture-to-text, captcha του binance / coinmarketcap, geetest v3, και πολλά άλλα. Ωστόσο, αυτό δεν είναι μια πραγματική παράκαμψη.