mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-26 22:52:06 +00:00
49 lines
4.2 KiB
Markdown
49 lines
4.2 KiB
Markdown
# Captcha 우회
|
|
|
|
<details>
|
|
|
|
<summary><strong>htARTE (HackTricks AWS Red Team 전문가)로부터 AWS 해킹을 처음부터 전문가까지 배우세요</strong></a><strong>!</strong></summary>
|
|
|
|
HackTricks를 지원하는 다른 방법:
|
|
|
|
* **회사가 HackTricks에 광고되길 원하거나 PDF로 HackTricks를 다운로드하려면** [**구독 요금제**](https://github.com/sponsors/carlospolop)를 확인하세요!
|
|
* [**공식 PEASS & HackTricks 스왜그**](https://peass.creator-spring.com)를 구매하세요
|
|
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)를 발견하세요, 당사의 독점 [**NFTs**](https://opensea.io/collection/the-peass-family) 컬렉션
|
|
* **💬 [Discord 그룹](https://discord.gg/hRep4RUj7f)** 또는 [**텔레그램 그룹**](https://t.me/peass)에 **가입**하거나 **트위터** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)를 **팔로우**하세요.
|
|
* **HackTricks** 및 **HackTricks Cloud** 깃허브 저장소에 PR을 제출하여 귀하의 해킹 기술을 공유하세요.
|
|
|
|
</details>
|
|
|
|
## Captcha 우회
|
|
|
|
**서버 테스트** 중 Captcha를 우회하고 사용자 입력 기능을 자동화하기 위해 다양한 기술을 사용할 수 있습니다. 목표는 보안을 약화시키는 것이 아니라 테스트 프로세스를 간소화하는 것입니다. 다음은 전략의 포괄적인 목록입니다:
|
|
|
|
1. **매개변수 조작**:
|
|
* **Captcha 매개변수 생략**: Captcha 매개변수를 보내지 않습니다. HTTP 메서드를 POST에서 GET으로 변경하거나 다른 동사로 변경하고, 데이터 형식을 변경하면서 폼 데이터와 JSON 간을 전환하는 등 실험해 봅니다.
|
|
* **빈 Captcha 보내기**: Captcha 매개변수를 존재하지만 비워둔 채 요청을 제출합니다.
|
|
|
|
2. **값 추출 및 재사용**:
|
|
* **소스 코드 검사**: 페이지의 소스 코드에서 Captcha 값을 찾습니다.
|
|
* **쿠키 분석**: Captcha 값이 저장되고 재사용되는지 확인하기 위해 쿠키를 조사합니다.
|
|
* **이전 Captcha 값 재사용**: 이전에 성공한 Captcha 값을 다시 사용해 봅니다. 그러나 언제든지 만료될 수 있음을 염두에 두세요.
|
|
* **세션 조작**: 다른 세션 또는 동일한 세션 ID에서 동일한 Captcha 값을 사용해 봅니다.
|
|
|
|
3. **자동화 및 인식**:
|
|
* **수학 Captcha**: Captcha에 수학 연산이 포함된 경우 계산 프로세스를 자동화합니다.
|
|
* **이미지 인식**:
|
|
* 이미지에서 문자를 읽어야 하는 Captcha의 경우 고유 이미지의 총 수를 수동 또는 프로그래밍 방식으로 결정합니다. 집합이 제한적인 경우 각 이미지를 MD5 해시로 식별할 수 있습니다.
|
|
* [Tesseract OCR](https://github.com/tesseract-ocr/tesseract)와 같은 광학 문자 인식 (OCR) 도구를 사용하여 이미지에서 문자를 자동으로 읽습니다.
|
|
|
|
4. **추가 기술**:
|
|
* **속도 제한 테스트**: 응용 프로그램이 특정 시간 내의 시도 횟수나 제출 횟수를 제한하는지 확인하고 이 제한을 우회하거나 재설정할 수 있는지 확인합니다.
|
|
* **제3자 서비스**: 자동화된 Captcha 인식 및 해결을 제공하는 Captcha 해결 서비스나 API를 사용합니다.
|
|
* **세션 및 IP 회전**: 서버에 의한 감지 및 차단을 피하기 위해 세션 ID와 IP 주소를 자주 변경합니다.
|
|
* **사용자 에이전트 및 헤더 조작**: 사용자 에이전트 및 기타 요청 헤더를 변경하여 다른 브라우저나 장치를 흉내냅니다.
|
|
* **오디오 Captcha 분석**: 오디오 Captcha 옵션이 있는 경우 음성을 텍스트로 변환하는 서비스를 사용하여 Captcha를 해석하고 해결합니다.
|
|
|
|
|
|
## Captcha 해결을 위한 온라인 서비스
|
|
|
|
### [Capsolver](https://www.capsolver.com/)
|
|
|
|
Capsolver의 자동 Captcha 해결 도구는 **저렴하고 빠른 Captcha 해결 솔루션**을 제공합니다. 간단한 통합 옵션을 사용하여 프로그램에 빠르게 통합하여 몇 초 안에 최상의 결과를 얻을 수 있습니다. reCAPTCHA V2 및 V3, hCaptcha, FunCaptcha, datadome, aws captcha, picture-to-text, binance / coinmarketcap captcha, geetest v3 등을 해결할 수 있습니다. 그러나 이것은 본질적으로 우회가 아닙니다.
|