验证码识别爆破没有那么简单
注册百度AI智能识别。这里选择文字识别,百度提供部分免费识别,但是识别验证码误差率很大,这里只说明这个识别的方法如何利用,后期的识别可以购买专业 识别比方图鉴,但是这样用来爆破登录界面的验证码耗费挺大。
还有中传统的识别分别是Pkav HTTP Fuzzer 和 伏羲验证码识别,但是存在的缺点 Pkav HTTP Fuzzer 只能对简单的验证码进行识别,而伏羲验证码识别需要自己制作验证码识别的模块需要耗费一的试驾训练,captcha-killer 可以直接调用打码平台的验证码识别接口带来便利,但是只能识别图片验证码,识别率越高的API收费越高。
1、注册获得API KEY百度有说明书,这里不再说明。获取token_key如下:
2、使用Burp拦截登录界面的验证码
存在一个问题,插件captcha-killer.0.1.2只能识别图片验证码,所以下面这个界面的登录验证码并不是图片。
从新找一个登录界面试试,像这种可以保存的图片验证码才可以识别。但是看到这个图片验证码明显加了很多干扰,百度免费的API是识别不了的,大家可以购买图鉴的API。
下面是我们识别的验证码,识别之后就可以在Intruder模块中爆破登录账户。