Burpsuite识别验证码爆破

类似前言的fei话

众所周知，burpsuite可以使用爆破模块，但是有的登录接口是需要用到验证码验证的，那么这个时候我们就可以用到一个插件来自动识别验证码，然后在爆破模块中调用，实现验证码绕过

正文

举例子，像这种站

弱密码爆破也是一个可行的思路，但是关键就在于，他有验证码，怎么办呢

我们知道，你访问网站后，网站让你去请求了一个图片验证码，然后在你登录发送了数据包后，拿你传入的验证码的值和你请求的值进行校验

这种类型的站，你只需要重新获取一次图片验证码，就可以用重新获取的这个验证码来登录了

先下载插件captcha-killer

https://github.com/c0ny1/captcha-killer/tags

下载完后，在burpuite中的Extender选项卡中，导入插件

点击Add后，找到你刚才下载的.jar文件，导入即可

（建议新建一个文件夹统一存放插件）

然后，获取验证码的url

打开burpsuite，访问这个url，抓取到这个请求验证码的包后，发送到插件去

这时插件就会接收到你发送过去的数据包，点击获取，能正常显示图片就可以了

我们在下方看到，有识别图片的地方

它可以自己导入模板，或者是用自带的几个

自带的几个中，我试了一下百度的OCR，效果不好，所以我用了图鉴

首先去http://www.ttshitu.com/register.html?spm=null中注册帐号

图鉴充值一块钱就可以识别500次了

然后回到burpsuite中，将下面这部分的内容全部删除

然后输入

POST /base64 HTTP/1.1
Host: api.ttshitu.com
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: Hm_lvt_d92eb5418ecf5150abbfe0e505020254=1585994993,1586144399; SESSION=5ebf9c31-a424-44f8-8188-62ca56de7bdf; Hm_lpvt_d92eb5418ecf5150abbfe0e505020254=1586146123
Connection: close
Content-Type: application/json; charset=UTF-8
Content-Length: 2658

{"username":"你的用户名","password":"你的密码","typeid":"1","image":"<@BASE64><@IMG_RAW></@IMG_RAW></@BASE64>"}

在接口URL处填写http://api.ttshitu.com:80

接着匹配方式选择Regular expression，匹配规则写<result>(.*)</result>

点击识别，右边就会出现正确结果了

接着我们拿去网站上试试

首先获取登录的包，丢到Intruder爆破模块去，模块选择Pitchfork

然后给password参数和captcha的值，设置为是“需要变化的”

接着，payload1选择弱密码字典

payload2选择验证码

然后这里有个误区，不是做到这一步就可以的，众所周知burpsuite支持多线程爆破

但是我们如果多线程去访问了，前一个会因为后一个的重新访问而导致失效，导致十多次里面可能只有两次是成功的，成功率很低

所以我们设置为一个线程，并且延时（也考虑到是阿里云的服务器，请求太快会banIP）

点击开始

成功

结尾

好久没更新了，想了想，这周开始应该会周更吧，当然要是有是在不知道写什么的情况就不写了哈哈哈，毕竟不想水文

这一篇主要是实际操作的时候发现还是有些问题，所以就自己写了一篇更细节的记录一下

参考资料：https://blog.csdn.net/weixin_46137328/article/details/108332805