hacktricks/pentesting-web/captcha-bypass.md

Bypass do Captcha

Aprenda hacking AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!

Outras maneiras de apoiar o HackTricks:

• Se você deseja ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF Confira os PLANOS DE ASSINATURA!
• Adquira o swag oficial PEASS & HackTricks
• Descubra A Família PEASS, nossa coleção exclusiva de NFTs
• Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-nos no Twitter 🐦 @carlospolopm.
• Compartilhe seus truques de hacking enviando PRs para os HackTricks e HackTricks Cloud repositórios do github.

Bypass do Captcha

Para burlar o captcha durante o teste do servidor e automatizar funções de entrada de usuário, várias técnicas podem ser empregadas. O objetivo não é comprometer a segurança, mas agilizar o processo de teste. Aqui está uma lista abrangente de estratégias:

1. Manipulação de Parâmetros:

• Omitir o Parâmetro do Captcha: Evite enviar o parâmetro do captcha. Experimente alterar o método HTTP de POST para GET ou outros verbos, e alterar o formato dos dados, como alternar entre dados de formulário e JSON.
• Enviar Captcha Vazio: Envie a solicitação com o parâmetro do captcha presente, mas deixado vazio.

2. Extração e Reutilização de Valores:

• Inspeção do Código Fonte: Procure o valor do captcha dentro do código fonte da página.
• Análise de Cookies: Examine os cookies para verificar se o valor do captcha está armazenado e reutilizado.
• Reutilizar Valores Antigos de Captcha: Tente usar valores de captcha anteriormente bem-sucedidos novamente.
• Manipulação de Sessão: Tente usar o mesmo valor de captcha em diferentes sessões ou no mesmo ID de sessão.

3. Automatização e Reconhecimento:

• Captcha Matemático: Se o captcha envolver operações matemáticas, automatize o processo de cálculo.
• Reconhecimento de Imagem:
• Para captchas que exigem a leitura de caracteres de uma imagem, determine manualmente ou programaticamente o número total de imagens únicas. Se o conjunto for limitado, você pode identificar cada imagem pelo seu hash MD5.
• Utilize ferramentas de Reconhecimento Óptico de Caracteres (OCR) como Tesseract OCR para automatizar a leitura de caracteres em imagens.

4. Técnicas Adicionais:

• Teste de Limite de Taxa: Verifique se a aplicação limita o número de tentativas ou envios em um determinado período de tempo e se esse limite pode ser burlado ou redefinido.
• Serviços de Terceiros: Utilize serviços ou APIs de resolução de captcha que oferecem reconhecimento e resolução automatizados de captcha.
• Rotação de Sessão e IP: Altere frequentemente os IDs de sessão e os endereços IP para evitar detecção e bloqueio pelo servidor.
• Manipulação de User-Agent e Cabeçalhos: Altere o User-Agent e outros cabeçalhos de solicitação para imitar diferentes navegadores ou dispositivos.
• Análise de Captcha de Áudio: Se uma opção de captcha de áudio estiver disponível, utilize serviços de conversão de fala em texto para interpretar e resolver o captcha.

Serviços Online para burlar captchas

Capsolver

O solucionador automático de captcha da Capsolver oferece a solução de resolução de captcha mais acessível e rápida. Você pode rapidamente integrá-lo ao seu programa usando sua opção de integração simples para obter os melhores resultados em questão de segundos.

Com uma taxa de sucesso de 99,15%, a Capsolver pode responder a mais de 10 milhões de captchas a cada minuto. Isso significa que sua automação ou raspagem terá um tempo de atividade de 99,99%. Você pode comprar um pacote de captcha se tiver um grande orçamento.

Pelo menor preço do mercado, você pode obter uma variedade de soluções, incluindo reCAPTCHA V2, reCAPTCHA V3, hCaptcha, hCaptcha Click, reCaptcha click, Funcaptcha Click, FunCaptcha, datadome captcha, aws captcha, picture-to-text, binance / coinmarketcap captcha, geetest v3 / v3, e muito mais. Com este serviço, 0.1s é a velocidade mais lenta já medida.