hacktricks/pentesting-web/captcha-bypass.md

4.1 KiB

Kupita kwa Captcha

Jifunze AWS hacking kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

Kupita kwa Captcha

Kwa kusudi la kupita kwa captcha wakati wa ujaribio wa seva na kiotomatiki kazi za mtumiaji, mbinu mbalimbali zinaweza kutumika. Lengo si kudhoofisha usalama bali kufanya mchakato wa ujaribio kuwa laini. Hapa kuna orodha kamili ya mikakati:

  1. Ubadilishaji wa Parameta:
  • Acha Parameta ya Captcha: Epuka kutuma parameta ya captcha. Jaribu kubadilisha njia ya HTTP kutoka POST kwenda GET au vitenzi vingine, na kubadilisha muundo wa data, kama vile kubadilisha kati ya data ya fomu na JSON.
  • Tuma Captcha Tupu: Wasilisha ombi na parameta ya captcha ikiwepo lakini ikiachwa tupu.
  1. Uchimbaji na Matumizi ya Thamani:
  • Uchunguzi wa Msimbo wa Chanzo: Tafuta thamani ya captcha ndani ya msimbo wa chanzo wa ukurasa.
  • Uchambuzi wa Kuki: Angalia kuki ili kujua kama thamani ya captcha imehifadhiwa na kutumiwa tena.
  • Tumia Thamani za Zamani za Captcha: Jaribu kutumia thamani za captcha zilizofanikiwa hapo awali tena. Kumbuka kwamba zinaweza kumalizika wakati wowote.
  • Ubadilishaji wa Kikao: Jaribu kutumia thamani ile ile ya captcha kati ya vikao tofauti au kitambulisho cha kikao kimoja.
  1. Kiotomatiki na Uthibitishaji:
  • Captcha za Hisabati: Ikiwa captcha inahusisha shughuli za hisabati, otomatisha mchakato wa kuhesabu.
  • Uthibitishaji wa Picha:
  • Kwa captchas zinazohitaji kusoma wahusika kutoka kwenye picha, tafuta au tambua idadi ya picha za kipekee kwa mikono au kiotomatiki. Ikiwa seti ni ndogo, unaweza kutambua kila picha kwa hash yake ya MD5.
  • Tumia zana za Uthibitishaji wa Kioptiki wa Wahusika (OCR) kama Tesseract OCR kiotomatiki kusoma wahusika kutoka kwenye picha.
  1. Mbinu Zaidi:
  • Jaribio la Kikomo cha Kasi: Angalia ikiwa programu inaweka kikomo cha idadi ya majaribio au maombi katika kipindi fulani na ikiwa kikomo hiki kinaweza kupuuzwa au kurejeshwa.
  • Huduma za Tatu: Tumia huduma au APIs za kutatua captcha zinazotoa utambuzi na ufumbuzi wa captcha kiotomatiki.
  • Ubadilishaji wa Kikao na IP: Badilisha mara kwa mara vitambulisho vya kikao na anwani za IP ili kuepuka kugunduliwa na kuzuiliwa na seva.
  • Ubadilishaji wa Mtumiaji-Agenti na Kichwa: Badilisha Mtumiaji-Agenti na vichwa vingine vya ombi kufanana na vivinjari au vifaa tofauti.
  • Uchambuzi wa Captcha ya Sauti: Ikiwa chaguo la captcha ya sauti ipo, tumia huduma za kubadilisha maandishi kuielewa na kutatua captcha.

Huduma za Mtandaoni za kutatua captchas

Capsolver

Mtatuzi wa captcha wa kiotomatiki wa Capsolver hutoa suluhisho la bei nafuu na haraka la kutatua captcha. Unaweza kuiunganisha haraka na programu yako kwa kutumia chaguo lake rahisi la ushirikiano ili upate matokeo bora ndani ya sekunde. Inaweza kutatua reCAPTCHA V2 na V3, hCaptcha, FunCaptcha, datadome, aws captcha, picha-kuwa-maandishi, captcha ya binance / coinmarketcap, geetest v3, na zaidi. Hata hivyo, hii sio kipitishaji kwa asili.