hacktricks/pentesting-web/captcha-bypass.md

7.6 KiB
Raw Blame History

Captcha Bypass

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks
{% endhint %}

Captcha Bypass

Για να παρακάμψετε το captcha κατά τη διάρκεια δοκιμών διακομιστή και να αυτοματοποιήσετε τις λειτουργίες εισόδου χρηστών, μπορούν να χρησιμοποιηθούν διάφορες τεχνικές. Ο στόχος δεν είναι να υπονομευθεί η ασφάλεια αλλά να απλοποιηθεί η διαδικασία δοκιμών. Ακολουθεί μια ολοκληρωμένη λίστα στρατηγικών:

  1. Manipulation Παραμέτρων:
  • Αποκλεισμός της Παράμετρος Captcha: Αποφύγετε την αποστολή της παραμέτρου captcha. Πειραματιστείτε με την αλλαγή της μεθόδου HTTP από POST σε GET ή άλλες ρήτρες, και την τροποποίηση της μορφής δεδομένων, όπως η εναλλαγή μεταξύ δεδομένων φόρμας και JSON.
  • Αποστολή Κενής Captcha: Υποβάλετε το αίτημα με την παράμετρο captcha παρούσα αλλά κενή.
  1. Εξαγωγή και Επαναχρησιμοποίηση Τιμών:
  • Επιθεώρηση Πηγαίου Κώδικα: Αναζητήστε την τιμή captcha μέσα στον πηγαίο κώδικα της σελίδας.
  • Ανάλυση Cookies: Εξετάστε τα cookies για να δείτε αν η τιμή captcha αποθηκεύεται και επαναχρησιμοποιείται.
  • Επαναχρησιμοποίηση Παλιών Τιμών Captcha: Προσπαθήστε να χρησιμοποιήσετε ξανά προηγούμενες επιτυχείς τιμές captcha. Να έχετε υπόψη ότι μπορεί να λήξουν οποιαδήποτε στιγμή.
  • Manipulation Συνεδρίας: Δοκιμάστε να χρησιμοποιήσετε την ίδια τιμή captcha σε διαφορετικές συνεδρίες ή την ίδια ταυτότητα συνεδρίας.
  1. Αυτοματοποίηση και Αναγνώριση:
  • Μαθηματικά Captchas: Εάν το captcha περιλαμβάνει μαθηματικές λειτουργίες, αυτοματοποιήστε τη διαδικασία υπολογισμού.
  • Αναγνώριση Εικόνας:
  • Για captchas που απαιτούν την ανάγνωση χαρακτήρων από μια εικόνα, προσδιορίστε χειροκίνητα ή προγραμματισμένα τον συνολικό αριθμό μοναδικών εικόνων. Εάν το σύνολο είναι περιορισμένο, μπορεί να αναγνωρίσετε κάθε εικόνα με το MD5 hash της.
  • Χρησιμοποιήστε εργαλεία Αναγνώρισης Οπτικών Χαρακτήρων (OCR) όπως το Tesseract OCR για να αυτοματοποιήσετε την ανάγνωση χαρακτήρων από εικόνες.
  1. Επιπλέον Τεχνικές:
  • Δοκιμή Περιορισμού Ρυθμού: Ελέγξτε αν η εφαρμογή περιορίζει τον αριθμό προσπαθειών ή υποβολών σε μια δεδομένη χρονική περίοδο και αν αυτός ο περιορισμός μπορεί να παρακαμφθεί ή να επαναρυθμιστεί.
  • Υπηρεσίες Τρίτων: Χρησιμοποιήστε υπηρεσίες ή APIs επίλυσης captcha που προσφέρουν αυτοματοποιημένη αναγνώριση και επίλυση captcha.
  • Εναλλαγή Συνεδρίας και IP: Αλλάξτε συχνά τις ταυτότητες συνεδρίας και τις διευθύνσεις IP για να αποφύγετε την ανίχνευση και το μπλοκάρισμα από τον διακομιστή.
  • Manipulation User-Agent και Επικεφαλίδων: Αλλάξτε τον User-Agent και άλλες επικεφαλίδες αιτήματος για να μιμηθείτε διαφορετικούς περιηγητές ή συσκευές.
  • Ανάλυση Audio Captcha: Εάν είναι διαθέσιμη μια επιλογή audio captcha, χρησιμοποιήστε υπηρεσίες μετατροπής ομιλίας σε κείμενο για να ερμηνεύσετε και να λύσετε το captcha.

Online Services to solve captchas

Capsolver

Η αυτόματη λύση captcha του Capsolver προσφέρει μια προσιτή και γρήγορη λύση επίλυσης captcha. Μπορείτε να το συνδυάσετε γρήγορα με το πρόγραμμα σας χρησιμοποιώντας την απλή επιλογή ενσωμάτωσης του για να επιτύχετε τα καλύτερα αποτελέσματα σε λίγα δευτερόλεπτα. Μπορεί να λύσει reCAPTCHA V2 και V3, hCaptcha, FunCaptcha, datadome, aws captcha, picture-to-text, binance / coinmarketcap captcha, geetest v3 και άλλα. Ωστόσο, αυτό δεν είναι μια παράκαμψη από μόνο του.

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks
{% endhint %}