hacktricks/pentesting-web/captcha-bypass.md

Captcha Bypass

Aprende hacking en AWS de cero a héroe con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks:

• Si quieres ver a tu empresa anunciada en HackTricks o descargar HackTricks en PDF revisa los PLANES DE SUSCRIPCIÓN!
• Consigue el merchandising oficial de PEASS & HackTricks
• Descubre La Familia PEASS, nuestra colección de NFTs exclusivos
• Únete al 💬 grupo de Discord o al grupo de telegram o sígueme en Twitter 🐦 @carlospolopm.
• Comparte tus trucos de hacking enviando PRs a los repositorios de GitHub de HackTricks y HackTricks Cloud.

Captcha Bypass

Para automatizar la prueba de algunas funciones del servidor que permite la entrada de usuarios, podría ser necesario burlar una implementación de captcha. Por lo tanto, intenta probar estas cosas:

• No enviar el parámetro relacionado con el captcha.
• Cambiar de POST a GET u otros verbos HTTP
• Cambiar a JSON o desde JSON
• Enviar el parámetro del captcha vacío.
• Comprobar si el valor del captcha está en el código fuente de la página.
• Comprobar si el valor está dentro de una cookie.
• Intentar usar un valor de captcha antiguo
• Comprobar si puedes usar el mismo valor de captcha varias veces con el mismo o diferente sessionID.
• Si el captcha consiste en una operación matemática, intenta automatizar el cálculo.
• Si el captcha consiste en leer caracteres de una imagen, comprueba manualmente o con código cuántas imágenes se están utilizando y si solo se utilizan unas pocas imágenes, detéctalas por MD5.
• Utilizar un OCR (https://github.com/tesseract-ocr/tesseract).

Servicios en línea para burlar captchas

Capsolver

La solución automática de captchas de Capsolver ofrece la solución más asequible y rápida. Puedes integrarlo rápidamente con tu programa utilizando su opción de integración sencilla para obtener los mejores resultados en cuestión de segundos.

Con una tasa de éxito del 99.15%, Capsolver puede resolver más de 10M de captchas cada minuto. Esto implica que tu automatización o raspado tendrá un tiempo de actividad del 99.99%. Si tienes un gran presupuesto, puedes comprar un paquete de captchas.

Al precio más bajo del mercado, puedes recibir una variedad de soluciones, incluyendo reCAPTCHA V2, reCAPTCHA V3, hCaptcha, hCaptcha Click, reCaptcha click, Funcaptcha Click, FunCaptcha, datadome captcha, aws captcha, imagen-a-texto, binance / coinmarketcap captcha, geetest v3 / v3, y más. Con este servicio, 0.1s es la velocidad más lenta jamás medida.

Aprende hacking en AWS de cero a héroe con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks:

• Si quieres ver a tu empresa anunciada en HackTricks o descargar HackTricks en PDF revisa los PLANES DE SUSCRIPCIÓN!
• Consigue el merchandising oficial de PEASS & HackTricks
• Descubre La Familia PEASS, nuestra colección de NFTs exclusivos
• Únete al 💬 grupo de Discord o al grupo de telegram o sígueme en Twitter 🐦 @carlospolopm.
• Comparte tus trucos de hacking enviando PRs a los repositorios de GitHub de HackTricks y HackTricks Cloud.