hacktricks/pentesting-web/captcha-bypass.md

Captcha Bypass

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

• Check the subscription plans!
• Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
• Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

{% endhint %}

Captcha Bypass

Da biste zaobišli captcha tokom testiranja servera i automatizovali funkcije unosa korisnika, mogu se primeniti različite tehnike. Cilj nije da se potkopa sigurnost, već da se pojednostavi proces testiranja. Evo sveobuhvatne liste strategija:

1. Manipulacija parametrima:

• Izostavite Captcha Parametar: Izbegavajte slanje captcha parametra. Eksperimentišite sa promenom HTTP metode sa POST na GET ili druge glagole, i menjajte format podataka, kao što je prelazak između form data i JSON.
• Pošaljite Prazan Captcha: Pošaljite zahtev sa prisutnim captcha parametrom, ali ostavite ga praznim.

2. Ekstrakcija i ponovna upotreba vrednosti:

• Inspekcija Izvora Koda: Pretražujte captcha vrednost unutar izvornog koda stranice.
• Analiza Kolačića: Istražite kolačiće da biste saznali da li je captcha vrednost sačuvana i ponovo korišćena.
• Ponovna Upotreba Starih Captcha Vrednosti: Pokušajte ponovo da koristite prethodno uspešne captcha vrednosti. Imajte na umu da mogu isteći u bilo kojem trenutku.
• Manipulacija Sesijom: Pokušajte koristiti istu captcha vrednost kroz različite sesije ili isti ID sesije.

3. Automatizacija i Prepoznavanje:

• Matematičke Captche: Ako captcha uključuje matematičke operacije, automatizujte proces izračunavanja.
• Prepoznavanje Slika:
• Za captche koje zahtevaju čitanje karaktera sa slike, ručno ili programatski odredite ukupan broj jedinstvenih slika. Ako je set ograničen, možda ćete moći da identifikujete svaku sliku po njenom MD5 hašu.
• Iskoristite alate za optičko prepoznavanje karaktera (OCR) kao što je Tesseract OCR za automatizaciju čitanja karaktera sa slika.

4. Dodatne Tehnike:

• Testiranje Ograničenja Brzine: Proverite da li aplikacija ograničava broj pokušaja ili podnošenja u datom vremenskom okviru i da li se ovo ograničenje može zaobići ili resetovati.
• Usluge Trećih Strana: Koristite usluge ili API-je za rešavanje captche koje nude automatsko prepoznavanje i rešavanje captche.
• Rotacija Sesija i IP Adresa: Često menjajte ID sesija i IP adrese kako biste izbegli otkrivanje i blokiranje od strane servera.
• Manipulacija User-Agent i Header-ima: Menjajte User-Agent i druge zaglavlja zahteva kako biste oponašali različite pretraživače ili uređaje.
• Analiza Audio Captche: Ako je dostupna opcija audio captche, koristite usluge pretvaranja govora u tekst kako biste interpretirali i rešili captcha.

Online Usluge za rešavanje captcha

Capsolver

Capsolverov automatski reševač captche nudi pristupačno i brzo rešenje za rešavanje captche. Možete ga brzo kombinovati sa vašim programom koristeći njegov jednostavan integracijski opciju kako biste postigli najbolje rezultate za nekoliko sekundi. Može rešavati reCAPTCHA V2 i V3, hCaptcha, FunCaptcha, datadome, aws captcha, picture-to-text, binance / coinmarketcap captcha, geetest v3, i još mnogo toga. Međutim, ovo nije zaobilaženje per se.

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

• Check the subscription plans!
• Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
• Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

{% endhint %}