hacktricks/pentesting-web/captcha-bypass.md

7 KiB
Raw Blame History

Παράκαμψη Captcha

Μάθετε το χάκινγκ στο AWS από το μηδέν μέχρι τον ήρωα με το htARTE (Ειδικός Red Team του HackTricks AWS)!

Άλλοι τρόποι υποστήριξης του HackTricks:

Παράκαμψη Captcha

Για να παρακάμψετε το captcha κατά τη διάρκεια της δοκιμής του διακομιστή και να αυτοματοποιήσετε τις λειτουργίες εισαγωγής χρήστη, μπορούν να χρησιμοποιηθούν διάφορες τεχνικές. Ο στόχος δεν είναι να υπονομεύσετε την ασφάλεια αλλά να βελτιώσετε τη διαδικασία δοκιμής. Εδώ υπάρχει μια περιεκτική λίστα στρατηγικών:

  1. Αλλοίωση Παραμέτρων:
  • Παράλειψη της Παραμέτρου Captcha: Αποφύγετε να στείλετε την παράμετρο captcha. Δοκιμάστε να αλλάξετε τη μέθοδο HTTP από POST σε GET ή άλλες ρήματα, και να αλλάξετε τη μορφή των δεδομένων, όπως η μετάβαση μεταξύ δεδομένων φόρμας και JSON.
  • Αποστολή Κενής Captcha: Υποβάλετε το αίτημα με την παράμετρο captcha παρόν αλλά αφήστε την κενή.
  1. Εξαγωγή και Επαναχρησιμοποίηση Τιμών:
  • Επιθεώρηση Κώδικα Πηγής: Αναζητήστε την τιμή του captcha μέσα στον κώδικα πηγής της σελίδας.
  • Ανάλυση Cookies: Εξετάστε τα cookies για να βρείτε αν η τιμή του captcha αποθηκεύεται και επαναχρησιμοποιείται.
  • Επαναχρησιμοποίηση Παλαιών Τιμών Captcha: Δοκιμάστε να χρησιμοποιήσετε ξανά προηγουμένως επιτυχημένες τιμές captcha. Θυμηθείτε ότι μπορεί να λήξουν ανά πάσα στιγμή.
  • Αλλαγή Συνεδρίας: Δοκιμάστε να χρησιμοποιήσετε την ίδια τιμή captcha σε διαφορετικές συνεδρίες ή το ίδιο αναγνωριστικό συνεδρίας.
  1. Αυτοματισμός και Αναγνώριση:
  • Μαθηματικά Captchas: Αν το captcha περιλαμβάνει μαθηματικές πράξεις, αυτοματοποιήστε τη διαδικασία υπολογισμού.
  • Αναγνώριση Εικόνας:
  • Για captchas που απαιτούν την ανάγνωση χαρακτήρων από μια εικόνα, καθορίστε χειροκίνητα ή προγραμματικά τον συνολικό αριθμό μοναδικών εικόνων. Αν το σύνολο είναι περιορισμένο, μπορείτε να αναγνωρίσετε κάθε εικόνα με το MD5 hash της.
  • Χρησιμοποιήστε εργαλεία Οπτικής Αναγνώρισης Χαρακτήρων (OCR) όπως το Tesseract OCR για την αυτοματοποίηση της ανάγνωσης χαρακτήρων από εικόνες.
  1. Επιπλέον Τεχνικές:
  • Έλεγχος Όρων Ρυθμού: Ελέγξτε αν η εφαρμογή περιορίζει τον αριθμό των προσπαθειών ή υποβολών σε ένα συγκεκριμένο χρονικό διάστημα και εάν αυτό το όριο μπορεί να παρακαμφθεί ή επαναφερθεί.
  • Υπηρεσίες Τρίτων: Χρησιμοποιήστε υπηρεσίες ή APIs επίλυσης captcha που προσφέρουν αυτόματη αναγνώριση και επίλυση captcha.
  • Περιστροφή Συνεδρίας και IP: Αλλάξτε συχνά τα αναγνωριστικά συνεδρίας και τις διευθύνσεις IP για να αποφύγετε την ανίχνευση και το μπλοκάρισμα από τον διακομιστή.
  • Αλλαγή User-Agent και Κεφαλίδων: Αλλάξτε τον User-Agent και άλλες κεφαλίδες αιτήματος για να μιμηθείτε διαφορετικούς περιηγητές ή συσκευές.
  • Ανάλυση Ήχου Captcha: Αν υπάρχει διαθέσιμη επιλογή ήχου captcha, χρησιμοποιήστε υπηρεσίες μετατροπής ομιλίας σε κείμενο για την ερμηνεία και επίλυση του captcha.

Online Υπηρεσίες για την επίλυση captchas

Capsolver

Η αυτόματη λύση captcha της Capsolver προσφέρει μια οικονομική και γρήγορη λύση captcha. Μπορείτε γρήγορα να τη συνδυάσετε με το πρόγραμμά σας χρησιμοποιώντας την απλή επιλογή ενσωμάτωσης της για να επιτύχετε τα καλύτερα αποτελέσματα σε λίγα δευτερόλεπτα. Μπορεί να λύσει reCAPTCHA V2 και V3, hCaptcha, FunCaptcha, datadome, aws captcha, picture-to-text, captcha του binance / coinmarketcap, geetest v3, και πολλά άλλα. Ωστόσο, αυτό δεν είναι μια πραγματική παράκαμψη.