hacktricks/pentesting-web/captcha-bypass.md

Παράκαμψη Captcha

Μάθετε το hacking του AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!

Άλλοι τρόποι υποστήριξης του HackTricks:

• Εάν θέλετε να δείτε την εταιρεία σας να διαφημίζεται στο HackTricks ή να κατεβάσετε το HackTricks σε μορφή PDF ελέγξτε τα ΣΧΕΔΙΑ ΣΥΝΔΡΟΜΗΣ!
• Αποκτήστε το επίσημο PEASS & HackTricks swag
• Ανακαλύψτε την Οικογένεια PEASS, τη συλλογή μας από αποκλειστικά NFTs
• Συμμετάσχετε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @carlospolopm.
• Μοιραστείτε τα κόλπα σας στο hacking υποβάλλοντας PRs στα αποθετήρια HackTricks και HackTricks Cloud στο github.

Παράκαμψη Captcha

Για να παρακάμψετε το captcha κατά τη διάρκεια του έλεγχου του διακομιστή και να αυτοματοποιήσετε τις λειτουργίες εισαγωγής χρήστη, μπορούν να χρησιμοποιηθούν διάφορες τεχνικές. Ο στόχος δεν είναι να υπονομεύσετε την ασφάλεια αλλά να διευκολύνετε τη διαδικασία ελέγχου. Εδώ υπάρχει μια περιεκτική λίστα στρατηγικών:

1. Παραμετρική Αλλοίωση:

• Παράλειψη της Παραμέτρου Captcha: Αποφύγετε την αποστολή της παραμέτρου captcha. Δοκιμάστε να αλλάξετε τη μέθοδο HTTP από POST σε GET ή άλλες ρήματα και να αλλάξετε τη μορφή των δεδομένων, όπως η μετάβαση από δεδομένα φόρμας σε JSON.
• Αποστολή Κενού Captcha: Υποβάλετε το αίτημα με την παράμετρο captcha παρούσα αλλά αφήστε την κενή.

2. Εξαγωγή και Επαναχρησιμοποίηση Τιμών:

• Επιθεώρηση του Πηγαίου Κώδικα: Αναζητήστε την τιμή του captcha μέσα στον πηγαίο κώδικα της σελίδας.
• Ανάλυση των Cookies: Εξετάστε τα cookies για να βρείτε εάν η τιμή του captcha αποθηκεύεται και επαναχρησιμοποιείται.
• Επαναχρησιμοποίηση Παλαιών Τιμών Captcha: Προσπαθήστε να χρησιμοποιήσετε ξανά προηγουμένως επιτυχημένες τιμές captcha.
• Αλλοίωση Συνεδρίας: Δοκιμάστε να χρησιμοποιήσετε την ίδια τιμή captcha σε διάφορες συνεδρίες ή στο ίδιο αναγνωριστικό συνεδρίας.

3. Αυτοματοποίηση και Αναγνώριση:

• Μαθηματικά Captchas: Εάν το captcha περιλαμβάνει μαθηματικές πράξεις, αυτοματοποιήστε τη διαδικασία υπολογισμού.
• Αναγνώριση Εικόνας:
• Για captchas που απαιτούν την ανάγνωση χαρακτήρων από μια εικόνα, καθορίστε χειροκίνητα ή προγραμματικά τον συνολικό αριθμό μοναδικών εικόνων. Εάν το σύνολο είναι περιορισμένο, μπορείτε να αναγνωρίσετε κάθε εικόνα με βάση το MD5 hash της.
• Χρησιμοποιήστε εργαλεία Οπτικής Αναγνώρισης Χαρακτήρων (OCR) όπως το Tesseract OCR για την αυτοματοποίηση της ανάγνωσης χαρακτήρων από εικόνες.

4. Επιπλέον Τεχνικές:

• Έλεγχος Όριου Ρυθμού: Ελέγξτε εάν η εφαρμογή περιορίζει τον αριθμό των προσπαθειών ή υποβολών σε ένα συγκεκριμένο χρονικό πλαίσιο και εάν αυτό το όριο μπορεί να παρακαμφθεί ή επαναφερθεί.
• Υπηρεσίες Τρίτων: Χρησιμοποιήστε υπηρεσίες ή APIs επίλυσης captchas που προσφέρουν αυτόματη αναγνώριση και επίλυση captchas.
• Αλλαγή Συνεδρίας και IP: Αλλάξτε συχνά τα αναγνωριστικά συνεδρίας και τις διευθύνσεις IP για να αποφύγετε την ανίχνευση και τον αποκλεισμό από τον διακομιστή.
• **Αλλαγή User-Agent και Αλλαγή Κεφαλίδας