hacktricks/pentesting-web/captcha-bypass.md

4.5 KiB

Contournement de Captcha

Apprenez le piratage AWS de zéro à héros avec htARTE (Expert Red Team AWS HackTricks)!

Autres façons de soutenir HackTricks :

Contournement de Captcha

Pour contourner le captcha lors des tests de serveur et automatiser les fonctions de saisie utilisateur, diverses techniques peuvent être utilisées. L'objectif n'est pas de compromettre la sécurité, mais de rationaliser le processus de test. Voici une liste complète des stratégies :

  1. Manipulation des Paramètres :
  • Omettre le Paramètre Captcha : Évitez d'envoyer le paramètre captcha. Expérimentez en changeant la méthode HTTP de POST à GET ou à d'autres verbes, et en modifiant le format des données, comme passer de données de formulaire à JSON.
  • Envoyer un Captcha Vide : Envoyez la requête avec le paramètre captcha présent mais laissé vide.
  1. Extraction et Réutilisation des Valeurs :
  • Inspection du Code Source : Recherchez la valeur du captcha dans le code source de la page.
  • Analyse des Cookies : Examinez les cookies pour voir si la valeur du captcha est stockée et réutilisée.
  • Réutiliser d'Anciennes Valeurs de Captcha : Essayez d'utiliser à nouveau des valeurs de captcha précédemment réussies. Gardez à l'esprit qu'elles peuvent expirer à tout moment.
  • Manipulation de Session : Essayez d'utiliser la même valeur de captcha à travers différentes sessions ou le même ID de session.
  1. Automatisation et Reconnaissance :
  • Captcha Mathématique : Si le captcha implique des opérations mathématiques, automatisez le processus de calcul.
  • Reconnaissance d'Image :
  • Pour les captchas qui nécessitent la lecture de caractères à partir d'une image, déterminez manuellement ou par programmation le nombre total d'images uniques. Si l'ensemble est limité, vous pouvez identifier chaque image par son hachage MD5.
  • Utilisez des outils de Reconnaissance Optique de Caractères (OCR) comme Tesseract OCR pour automatiser la lecture de caractères à partir d'images.
  1. Techniques Additionnelles :
  • Test de Limitation de Taux : Vérifiez si l'application limite le nombre de tentatives ou de soumissions dans un laps de temps donné et si cette limite peut être contournée ou réinitialisée.
  • Services Tiers : Utilisez des services de résolution de captcha ou des APIs offrant une reconnaissance et une résolution automatiques de captcha.
  • Rotation de Session et d'IP : Changez fréquemment les ID de session et les adresses IP pour éviter la détection et le blocage par le serveur.
  • Manipulation de l'Agent Utilisateur et des En-têtes : Modifiez l'Agent Utilisateur et d'autres en-têtes de requête pour imiter différents navigateurs ou appareils.
  • Analyse de Captcha Audio : Si une option de captcha audio est disponible, utilisez des services de conversion de texte en discours pour interpréter et résoudre le captcha.

Services en Ligne pour Résoudre les Captchas

Capsolver

Le résolveur automatique de captcha de Capsolver offre une solution de résolution de captcha abordable et rapide. Vous pouvez rapidement l'intégrer à votre programme en utilisant son option d'intégration simple pour obtenir les meilleurs résultats en quelques secondes. Il peut résoudre reCAPTCHA V2 et V3, hCaptcha, FunCaptcha, datadome, captcha aws, image-texte, captcha binance / coinmarketcap, geetest v3, et plus encore. Cependant, ce n'est pas un contournement en soi.