Captcha Bypass

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Captcha Bypass

サーバーテスト中にキャプチャをバイパスし、ユーザー入力機能を自動化するために、さまざまな技術を使用できます。目的はセキュリティを損なうことではなく、テストプロセスを効率化することです。以下は戦略の包括的なリストです。

パラメータ操作:

キャプチャパラメータを省略: キャプチャパラメータを送信しない。HTTPメソッドをPOSTからGETや他の動詞に変更したり、データ形式を変更したり、フォームデータとJSONの間で切り替えたりしてみる。
空のキャプチャを送信: キャプチャパラメータを含めてリクエストを送信するが、空のままにする。

値の抽出と再利用:

ソースコードの検査: ページのソースコード内でキャプチャ値を探す。
クッキー分析: クッキーを調べて、キャプチャ値が保存され再利用されているか確認する。
古いキャプチャ値の再利用: 以前に成功したキャプチャ値を再度使用してみる。ただし、いつでも期限切れになる可能性があることに注意する。
セッション操作: 異なるセッションや同じセッションIDで同じキャプチャ値を使用してみる。

自動化と認識:

数学的キャプチャ: キャプチャが数学的操作を含む場合、計算プロセスを自動化する。
画像認識:
画像から文字を読み取る必要があるキャプチャの場合、手動またはプログラムでユニークな画像の総数を特定する。セットが限られている場合、各画像をMD5ハッシュで識別できるかもしれない。
Tesseract OCRのような光学文字認識（OCR）ツールを利用して、画像から文字を自動的に読み取る。

追加技術:

レート制限テスト: アプリケーションが特定の時間内に試行や送信の回数を制限しているか、またその制限をバイパスまたはリセットできるか確認する。
サードパーティサービス: 自動キャプチャ認識と解決を提供するキャプチャ解決サービスやAPIを利用する。
セッションとIPのローテーション: セッションIDやIPアドレスを頻繁に変更して、サーバーによる検出やブロックを回避する。
ユーザーエージェントとヘッダー操作: ユーザーエージェントや他のリクエストヘッダーを変更して、異なるブラウザやデバイスを模倣する。
音声キャプチャ分析: 音声キャプチャオプションが利用可能な場合、音声からテキストへのサービスを使用してキャプチャを解釈し解決する。

Online Services to solve captchas

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousBypass Payment Process NextCache Poisoning and Cache Deception

Last updated 3 days ago