提供常州网站推广,网站建设与管理实践报告总结,青海住房城乡建设厅网站,上海人才网官网站首页声明#xff1a;该系列文章首发于公众号#xff1a;Y1X1n安全#xff0c;转载请注明出处#xff01;本公众号所分享内容仅用于每一个爱好者之间的技术讨论及教育目的#xff0c;所有渗透及工具的使用都需获取授权#xff0c;禁止用于违法途径#xff0c;否则需自行承担该系列文章首发于公众号Y1X1n安全转载请注明出处本公众号所分享内容仅用于每一个爱好者之间的技术讨论及教育目的所有渗透及工具的使用都需获取授权禁止用于违法途径否则需自行承担本公众号及作者不承担相应的后果。 遇到带验证码的网站验证码没法复用没有SQLi连个XSS都没有…难道要放弃风和日丽的下午接到测试需求好好好行我一会就测。那么切换场景拉上窗帘一杯茶一包烟一个站点日一下午吧。 由于涉及高敏内容相关图片展示会很少但是该有的细节都有主站一堆静态页面拼了个admin哦豁后台大概长下面这个样子刚开始填了个小写的验证码提示错误这么严格的嘛不愧是XOV估计之前也做过多次测试了。 验证码识别
掏出我三年前写的验证码识别脚本捣鼓了下正确率不是很高啊大概80%噪音处理不太好这测起来还是有很多问题找找有没有大佬写一些好用的工具。哦豁ddddocr看介绍感觉很牛批那用起来下面这些都能识别ddddocr是一款开源的python库直接导入就行恰好有burp插件辣么直接用项目地址https://github.com/lisa-hue/captcha-killer-modified/tagsP.S.:这个地方要注意JDK版本我这里下载的是captcha-killer-modified-0.24.1-jdk8.jar对应java version “1.8.0_281”导入插件就不多说了
使用 1、抓验证码更新包用来抓取验证码图片
点击验证码burp抓包右键导入captcha-killer-modified如下图点击获取即可。需要选中“是否使用该插件”验证码才能自动刷新
2、通过ddddocr进行验证码识别
下载的文件里有个codereg.py这段代码的功能主要是创建一了个基于aiohttp的Web应用程序用于接收POST请求并使用ddddocr库对接收到的图像进行OCR处理。如下所示可以做一些自定义操作除了下面这些还可以自己加
可以修改返回的字符个数以应对不同位数的验证码对结果进行二次修改如将0替换为字母o修改监听端口8888位其他
python codereg.py运行。然后再burp上配置接口地址为:http://127.0.0.1:8888右键选择模板为ddddocr右侧的Response raw会返回识别处理结果
3、验证码识别爆破
burp抓登录包转发至intruder选择Pitchfork。需要爆破的位置按需求设置即可验证码部分按照如下进行选择资源池配置
最大并发请求数设为1请求之间的延迟200ms保证每次仅有一个请求防止验证码识别匹配错误
Start attack即可 不出所料没爆破出来弱口令但是发现了这玩意存在验证码复用的情况通过抓包保持拦截状态修改账号或密码根据返回响应数字可以判断是否存在复用情况。由于敏感性我这里就不放图了简单说下当响应为1表示账密问题2表示验证码问题。Repeater数据包发现响应永为1修改数据包内容后同样为1则可以发送至Intruder进行识别爆破。当然这本身也算一个漏洞。OK烟也喝完了交差下班 如果你对网络安全或编程感兴趣可以搜索公众号“Y1X1n安全”或扫描下方的二维码每天都会分享相关知识点让我们一同加油路漫漫其修远兮吾将上下而求索。
