burpsuit爆破带验证码的后台密码

Mr.Wu 2,353 9

说起对存在验证码的登录表单进行爆破,大部分人都会想到PKav HTTP Fuzzer,这款工具在前些年确实给我们带来了不少便利。反观burp一直没有一个高度自定义通杀大部分图片验证码的识别方案,于是抽了点闲暇的时间开发了captcha-kille(https://github.com/c0ny1/captcha-killer),希望burp也能用上各种好用的识别码技术。其设计理念是只专注做好对各种验证码识别技术接口的调用!说具体点就是burp通过同一个插件,就可以适配各种验证码识别接口,无需重复编写调用代码。今天不谈编码层面如何设计,感兴趣的可以去github看源码。此处只通过使用步骤来说明设计的细节。

去作者 github 下载 captcha-killer.jar 扩展,然后加载到burp中,各种调试成功试别爆破后,说说感谢把,

优点:基于 burpsite 开发的小插件,这个插件本身是不能试别验证码的,但是可以添加接口,这就非常方便使用了,直接百度搜索下一些收费或者免费的解码平台,然后配置进去即可,方便简单强大.
缺点:不知道是BUG还是什么情况,我总是遇到修改后的包的http头丢失字母,比如域名xx.com 丢失最后的m 经过各种换接口调试,终于解决了.

发两张图:

参考连接:
使用burp插件captcha-killer识别图片验证码
github-captcha-killer

打赏
发表评论 取消回复
表情 图片 链接 代码

  1. zhhhxx
    zhhhxx Lv 1

    私fu网站,求合作,,Q116283190

  2. AlexAN
    AlexAN Lv 1

    大佬用的什么接口,我卡在最后一步了,用百度的那个识别正常可以使用,但是一加上标签就无法使用

  3. xiaozhang
    xiaozhang Lv 1

    手:我会了
    脑子:不你不会

  4. 111
    111 Lv 1

    哥们。能留下联系方式吗?帮个忙,有偿

  5. c0sMx
    c0sMx Lv 2

    [wb_dog15]学到了。

    • Mr.Wu
      Mr.Wu Lv 5

      @c0sMx你是订阅了么?为什么每次刚发文章你总是第一个回复的

分享
微信
微博
QQ