目錄
xp_CAPTCHA工具配置
xp_CAPTCHA工具所需環境的安裝
xp_CAPTCHA工具匯入Burp Suite
驗證xp_CAPTCHA工具功能生效
xp_CAPTCHA與Burp Suite實作爆破聯動
xp_CAPTCHA工具配置
- 工具下載地址
https://github.com/smxiazi/NEW_xp_CAPTCHA- 下載完成后有2個python3腳本檔案,本次工具服務端安裝在kali中,所以將server.py腳本匯入kali中,
- 配置虛擬機kali中的server.py腳本的服務地址以及真機中的xp_CAPTCHA.py腳本的ip地址,
vim server.py
xp_CAPTCHA工具所需環境的安裝
- 安裝
muggle_ocr模塊,github作者稱python3版本需要小于3.7,可是本人python3版本為3.8.6,依舊可以正常運行,
python3 -m pip install -i http://mirrors.aliyun.com/pypi/simple/ --trusted-host mirrors.aliyun.com muggle-ocr
- 運行服務,并使用瀏覽器訪問,真機和虛擬機均可訪問
python3 server.py
xp_CAPTCHA工具匯入Burp Suite
- 由于xp_CAPTCHA依賴與python環境運行,所以Burp Suite需要安裝Jython
- 下載地址
https://repo1.maven.org/maven2/org/python/jython-standalone/2.7.2/jython-standalone-2.7.2.jar
- 匯入兩個檔案后看到以下內容則說明匯入成功(切記:匯入的兩個檔案不能含有中文路徑)
驗證xp_CAPTCHA工具功能生效
- 找了一個靶場后臺進行驗證,如何驗證呢?
- 保存后臺驗證碼圖片
- 將保存的驗證碼圖片使用網上的在線工具進行base64編碼,如:菜鳥工具、站長之家等
- 訪問xp_CAPTCHA開啟的服務 http://kali-ip:8899/base64 并使用burp suite抓包
- 將抓取到的資料包發送到Repeater(重放模塊),修改資料提交型別(GET——>POST)
- 在資料包中添加資料體欄位base64,并將之前驗證碼圖片的base64編碼值賦值給該欄位,隨后放包看回應包即可看到識別出來的驗證碼
- 使用一個靶場后臺測驗
- 使用站長之家將驗證碼圖片編碼為base64
- 訪問服務頁面,并抓包修改資料提交方式
http://kali-ip:8899/base64
- 在資料體中添加base64欄位賦值驗證碼圖片base64編碼值,觀察回應包中識別出來的驗證碼(準確率有待考量)
xp_CAPTCHA與Burp Suite實作爆破聯動
- 可以在服務頁面看到驗證碼識別的記錄(準確率一半一半)
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/294626.html
標籤:其他
下一篇:Java多執行緒之生產消費模型