hacktricks/pentesting-web/captcha-bypass.md

Saltar Captcha

Aprende hacking en AWS desde cero hasta experto con htARTE (Experto en Red Team de AWS de HackTricks)!

Otras formas de apoyar a HackTricks:

• Si deseas ver tu empresa anunciada en HackTricks o descargar HackTricks en PDF ¡Consulta los PLANES DE SUSCRIPCIÓN!
• Obtén productos oficiales de PEASS & HackTricks
• Descubre La Familia PEASS, nuestra colección exclusiva de NFTs
• Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @carlospolopm.
• Comparte tus trucos de hacking enviando PRs a los repositorios de HackTricks y HackTricks Cloud.

Saltar Captcha

Para saltar el captcha durante la prueba del servidor y automatizar las funciones de entrada de usuario, se pueden emplear diversas técnicas. El objetivo no es socavar la seguridad, sino agilizar el proceso de prueba. Aquí tienes una lista completa de estrategias:

1. Manipulación de Parámetros:

• Omitir el Parámetro del Captcha: Evita enviar el parámetro del captcha. Experimenta cambiando el método HTTP de POST a GET u otros verbos, y alterando el formato de los datos, como alternar entre datos de formulario y JSON.
• Enviar Captcha Vacío: Envía la solicitud con el parámetro del captcha presente pero vacío.

2. Extracción y Reutilización de Valores:

• Inspección del Código Fuente: Busca el valor del captcha dentro del código fuente de la página.
• Análisis de Cookies: Examina las cookies para ver si el valor del captcha se almacena y se reutiliza.
• Reutilizar Valores Antiguos de Captcha: Intenta usar valores de captcha exitosos previamente.
• Manipulación de Sesiones: Intenta usar el mismo valor de captcha en diferentes sesiones o en la misma ID de sesión.

3. Automatización y Reconocimiento:

• Captcha Matemáticos: Si el captcha implica operaciones matemáticas, automatiza el proceso de cálculo.
• Reconocimiento de Imágenes:
• Para captchas que requieren leer caracteres de una imagen, determina manual o programáticamente el número total de imágenes únicas. Si el conjunto es limitado, podrías identificar cada imagen por su hash MD5.
• Utiliza herramientas de Reconocimiento Óptico de Caracteres (OCR) como Tesseract OCR para automatizar la lectura de caracteres desde imágenes.

4. Técnicas Adicionales:

• Pruebas de Límite de Tasa: Verifica si la aplicación limita el número de intentos o envíos en un período de tiempo dado y si este límite se puede saltar o reiniciar.
• Servicios de Terceros: Utiliza servicios o APIs de resolución de captchas que ofrecen reconocimiento y resolución automatizados de captchas.
• Rotación de Sesiones e IPs: Cambia frecuentemente las IDs de sesión y las direcciones IP para evitar la detección y el bloqueo por parte del servidor.
• Manipulación de User-Agent y Cabeceras: Altera el User-Agent y otras cabeceras de solicitud para imitar diferentes navegadores o dispositivos.
• Análisis de Captcha de Audio: Si hay una opción de captcha de audio disponible, utiliza servicios de conversión de voz a texto para interpretar y resolver el captcha.

Servicios en Línea para saltar captchas

Capsolver

El solucionador automático de captchas de Capsolver ofrece la solución más asequible y rápida para resolver captchas. Puedes integrarlo rápidamente con tu programa utilizando su opción de integración sencilla para obtener los mejores resultados en cuestión de segundos.

Con una tasa de éxito del 99.15%, Capsolver puede responder a más de 10 millones de captchas cada minuto. Esto implica que tu automatización o scraping tendrá un tiempo de actividad del 99.99%. Puedes adquirir un paquete de captchas si tienes un presupuesto amplio.

Al precio más bajo del mercado, puedes recibir una variedad de soluciones, incluyendo reCAPTCHA V2, reCAPTCHA V3, hCaptcha, hCaptcha Click, reCaptcha click, Funcaptcha Click, FunCaptcha, captchas de datadome, captchas de aws, imagen a texto, captcha de binance / coinmarketcap, geetest v3 / v3, y más. Con este servicio, 0.1s es la velocidad más lenta jamás medida.