hacktricks/pentesting-web/captcha-bypass.md

Captcha Bypass

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

• Check the subscription plans!
• Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
• Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

{% endhint %}

Captcha Bypass

Per bypassare il captcha durante il test del server e automatizzare le funzioni di input dell'utente, possono essere impiegate varie tecniche. L'obiettivo non è compromettere la sicurezza, ma semplificare il processo di test. Ecco un elenco completo di strategie:

1. Manipolazione dei Parametri:

• Omettere il Parametro Captcha: Evitare di inviare il parametro captcha. Sperimentare cambiando il metodo HTTP da POST a GET o ad altri verbi, e alterando il formato dei dati, come passare da dati di modulo a JSON.
• Inviare Captcha Vuoto: Inviare la richiesta con il parametro captcha presente ma lasciato vuoto.

2. Estrazione e Riutilizzo dei Valori:

• Ispezione del Codice Sorgente: Cercare il valore del captcha all'interno del codice sorgente della pagina.
• Analisi dei Cookie: Esaminare i cookie per verificare se il valore del captcha è memorizzato e riutilizzato.
• Riutilizzare Valori di Captcha Precedenti: Tentare di utilizzare nuovamente valori di captcha precedentemente riusciti. Tenere presente che potrebbero scadere in qualsiasi momento.
• Manipolazione della Sessione: Provare a utilizzare lo stesso valore del captcha in diverse sessioni o con lo stesso ID di sessione.

3. Automazione e Riconoscimento:

• Captchas Matematici: Se il captcha coinvolge operazioni matematiche, automatizzare il processo di calcolo.
• Riconoscimento Immagini:
• Per i captcha che richiedono di leggere caratteri da un'immagine, determinare manualmente o programmaticamente il numero totale di immagini uniche. Se il set è limitato, potresti identificare ogni immagine tramite il suo hash MD5.
• Utilizzare strumenti di Riconoscimento Ottico dei Caratteri (OCR) come Tesseract OCR per automatizzare la lettura dei caratteri dalle immagini.

4. Tecniche Aggiuntive:

• Test dei Limiti di Frequenza: Verificare se l'applicazione limita il numero di tentativi o invii in un determinato intervallo di tempo e se questo limite può essere bypassato o ripristinato.
• Servizi di Terze Parti: Utilizzare servizi o API di risoluzione captcha che offrono riconoscimento e risoluzione automatizzati del captcha.
• Rotazione di Sessione e IP: Cambiare frequentemente gli ID di sessione e gli indirizzi IP per evitare il rilevamento e il blocco da parte del server.
• Manipolazione di User-Agent e Header: Alterare l'User-Agent e altri header di richiesta per imitare diversi browser o dispositivi.
• Analisi del Captcha Audio: Se è disponibile un'opzione di captcha audio, utilizzare servizi di riconoscimento vocale per interpretare e risolvere il captcha.

Servizi Online per risolvere i captcha

Capsolver

Il risolutore automatico di captcha di Capsolver offre una soluzione economica e rapida per la risoluzione dei captcha. Puoi combinarlo rapidamente con il tuo programma utilizzando la sua semplice opzione di integrazione per ottenere i migliori risultati in pochi secondi. Può risolvere reCAPTCHA V2 e V3, hCaptcha, FunCaptcha, datadome, aws captcha, immagine-a-testo, captcha di binance / coinmarketcap, geetest v3 e altro ancora. Tuttavia, questo non è un bypass in sé.

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

• Check the subscription plans!
• Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
• Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

{% endhint %}