mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-23 05:03:35 +00:00
49 lines
4.3 KiB
Markdown
49 lines
4.3 KiB
Markdown
# Salto de Captcha
|
|
|
|
<details>
|
|
|
|
<summary><strong>Aprende hacking en AWS desde cero hasta experto con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (Experto en Equipo Rojo de AWS de HackTricks)</strong></a><strong>!</strong></summary>
|
|
|
|
Otras formas de apoyar a HackTricks:
|
|
|
|
* Si deseas ver tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF** ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
|
|
* Obtén [**productos oficiales de PEASS & HackTricks**](https://peass.creator-spring.com)
|
|
* Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
|
|
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **síguenos** en **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
|
|
* **Comparte tus trucos de hacking enviando PRs a los repositorios de** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
|
|
|
|
</details>
|
|
|
|
## Salto de Captcha
|
|
|
|
Para **saltar** el captcha durante la **prueba del servidor** y automatizar las funciones de entrada de usuario, se pueden emplear diversas técnicas. El objetivo no es socavar la seguridad, sino agilizar el proceso de prueba. Aquí tienes una lista completa de estrategias:
|
|
|
|
1. **Manipulación de Parámetros**:
|
|
* **Omitir el Parámetro del Captcha**: Evita enviar el parámetro del captcha. Experimenta cambiando el método HTTP de POST a GET u otros verbos, y alterando el formato de los datos, como alternar entre datos de formulario y JSON.
|
|
* **Enviar Captcha Vacío**: Envía la solicitud con el parámetro del captcha presente pero vacío.
|
|
|
|
2. **Extracción y Reutilización de Valores**:
|
|
* **Inspección del Código Fuente**: Busca el valor del captcha dentro del código fuente de la página.
|
|
* **Análisis de Cookies**: Examina las cookies para ver si el valor del captcha se almacena y se reutiliza.
|
|
* **Reutilizar Valores Antiguos de Captcha**: Intenta usar nuevamente valores de captcha previamente exitosos. Ten en cuenta que podrían expirar en cualquier momento.
|
|
* **Manipulación de Sesiones**: Intenta usar el mismo valor de captcha en diferentes sesiones o en la misma ID de sesión.
|
|
|
|
3. **Automatización y Reconocimiento**:
|
|
* **Captcha Matemáticos**: Si el captcha implica operaciones matemáticas, automatiza el proceso de cálculo.
|
|
* **Reconocimiento de Imágenes**:
|
|
* Para captchas que requieren leer caracteres de una imagen, determina manual o programáticamente el número total de imágenes únicas. Si el conjunto es limitado, podrías identificar cada imagen por su hash MD5.
|
|
* Utiliza herramientas de Reconocimiento Óptico de Caracteres (OCR) como [Tesseract OCR](https://github.com/tesseract-ocr/tesseract) para automatizar la lectura de caracteres desde imágenes.
|
|
|
|
4. **Técnicas Adicionales**:
|
|
* **Prueba de Límite de Tasa**: Verifica si la aplicación limita el número de intentos o envíos en un período de tiempo dado y si este límite se puede saltar o restablecer.
|
|
* **Servicios de Terceros**: Utiliza servicios o APIs de resolución de captchas que ofrecen reconocimiento y resolución automatizados de captchas.
|
|
* **Rotación de Sesiones e IPs**: Cambia frecuentemente las IDs de sesión y las direcciones IP para evitar la detección y el bloqueo por parte del servidor.
|
|
* **Manipulación de User-Agent y Cabeceras**: Altera el User-Agent y otras cabeceras de solicitud para imitar diferentes navegadores o dispositivos.
|
|
* **Análisis de Captcha de Audio**: Si hay una opción de captcha de audio disponible, utiliza servicios de conversión de voz a texto para interpretar y resolver el captcha.
|
|
|
|
|
|
## Servicios en Línea para resolver captchas
|
|
|
|
### [Capsolver](https://www.capsolver.com/)
|
|
|
|
El solucionador automático de captchas de Capsolver ofrece una solución de resolución de captchas **asequible y rápida**. Puedes combinarlo rápidamente con tu programa utilizando su sencilla opción de integración para obtener los mejores resultados en cuestión de segundos. Puede resolver reCAPTCHA V2 y V3, hCaptcha, FunCaptcha, datadome, captcha de aws, imagen a texto, captcha de binance / coinmarketcap, geetest v3, y más. Sin embargo, esto no es un salto en sí mismo.
|