mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-23 13:13:41 +00:00
4.4 KiB
4.4 KiB
Captcha Umgehung
Lernen Sie AWS-Hacking von Null auf Held mit htARTE (HackTricks AWS Red Team Expert)!
Andere Möglichkeiten, HackTricks zu unterstützen:
- Wenn Sie Ihr Unternehmen in HackTricks beworben sehen möchten oder HackTricks als PDF herunterladen möchten, überprüfen Sie die ABONNEMENTPLÄNE!
- Holen Sie sich das offizielle PEASS & HackTricks-Merchandise
- Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
- Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @carlospolopm.
- Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repositories einreichen.
Captcha Umgehung
Um das Captcha während des Servertests zu umgehen und die Benutzereingabefunktionen zu automatisieren, können verschiedene Techniken angewendet werden. Das Ziel ist nicht, die Sicherheit zu untergraben, sondern den Testprozess zu optimieren. Hier ist eine umfassende Liste von Strategien:
- Parametermanipulation:
- Captcha-Parameter auslassen: Vermeiden Sie das Senden des Captcha-Parameters. Experimentieren Sie mit der Änderung der HTTP-Methode von POST auf GET oder andere Verben und ändern Sie das Datenformat, z. B. durch Wechsel zwischen Formulardaten und JSON.
- Leeres Captcha senden: Senden Sie die Anfrage mit dem Captcha-Parameter, der vorhanden ist, aber leer gelassen wird.
- Wertextraktion und Wiederverwendung:
- Quellcodeinspektion: Suchen Sie nach dem Captcha-Wert im Quellcode der Seite.
- Cookie-Analyse: Untersuchen Sie die Cookies, um festzustellen, ob der Captcha-Wert gespeichert und wiederverwendet wird.
- Wiederverwendung alter Captcha-Werte: Versuchen Sie, zuvor erfolgreiche Captcha-Werte erneut zu verwenden. Beachten Sie, dass sie jederzeit ablaufen können.
- Sitzungsmanipulation: Versuchen Sie, denselben Captcha-Wert über verschiedene Sitzungen oder dieselbe Sitzungs-ID zu verwenden.
- Automatisierung und Erkennung:
- Mathematische Captchas: Wenn das Captcha mathematische Operationen beinhaltet, automatisieren Sie den Berechnungsprozess.
- Bilderkennung:
- Bei Captchas, die das Lesen von Zeichen aus einem Bild erfordern, bestimmen Sie manuell oder programmgesteuert die Gesamtanzahl eindeutiger Bilder. Wenn der Satz begrenzt ist, können Sie jedes Bild anhand seines MD5-Hashes identifizieren.
- Verwenden Sie optische Zeichenerkennung (OCR)-Tools wie Tesseract OCR, um das Lesen von Zeichen aus Bildern zu automatisieren.
- Zusätzliche Techniken:
- Rate-Limit-Test: Überprüfen Sie, ob die Anwendung die Anzahl der Versuche oder Einreichungen innerhalb eines bestimmten Zeitraums begrenzt und ob diese Grenze umgangen oder zurückgesetzt werden kann.
- Drittanbieterdienste: Nutzen Sie Captcha-Lösungsdienste oder APIs, die automatische Captcha-Erkennung und -Lösung anbieten.
- Sitzungs- und IP-Rotation: Ändern Sie häufig Sitzungs-IDs und IP-Adressen, um eine Erkennung und Blockierung durch den Server zu vermeiden.
- User-Agent- und Header-Manipulation: Ändern Sie den User-Agent und andere Anfrageheader, um verschiedene Browser oder Geräte zu imitieren.
- Audio-Captcha-Analyse: Wenn eine Audio-Captcha-Option verfügbar ist, verwenden Sie Sprach-zu-Text-Dienste, um das Captcha zu interpretieren und zu lösen.
Online-Dienste zur Lösung von Captchas
Capsolver
Der automatische Captcha-Löser von Capsolver bietet eine erschwingliche und schnelle Captcha-Lösung. Sie können ihn schnell mit Ihrem Programm kombinieren, um in wenigen Sekunden die besten Ergebnisse zu erzielen. Er kann reCAPTCHA V2 und V3, hCaptcha, FunCaptcha, Datadome, AWS Captcha, Bild-zu-Text, Binance / Coinmarketcap Captcha, Geetest V3 und mehr lösen. Dies ist jedoch kein direkter Umgehungsweg.