<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    網安 - 專業的網絡安全產業、社區、知識平臺

    使用burp插件captcha-killer識別圖片驗證碼(跳坑記)

    VSole2021-12-29 07:05:40

    一、0x01插件簡介

    burp2020前使用:

    https://github.com/c0ny1/captcha-killer/tree/0.1.2

    burp2020后的版本使用:

    https://github.com/Ta0ing/captcha-killer-java8

    captcha-killer要解決的問題是讓burp能用上各種驗證碼識別技術!插件當前針對的圖片類型驗證碼,其他類型當前不支持。captcha-killer本身無法識別驗證碼,它專注于對各種驗證碼識別接口的調用。

    二、插件使用介紹

    2.1 百度識別驗證碼接口:

    • 調用百度ocr識別驗證碼

    https://cloud.baidu.com/product/ocr_general

    創建一個應用然后記錄API Key Secret Key用來獲取Access Token具體可以看

    https://ai.baidu.com/ai-doc/REFERENCE/Ck3dwjhhu

    獲取access_token方法:

    curl -i -k 'https://aip.baidubce.com/oauth/2.0/token?grant_type=client_credentials&client_id=【百度云應用的AK】&client_secret=【百度云應用的SK】'

    2.使用插件captcha-killer自帶的baiduocr模板

    更改這兩個地方為你的應用的接口地址和access_token

    2.2 圖鑒識別驗證碼接口:http://www.ttshitu.com/

    接口URL:http://api.ttshitu.com:80

    POST /predict HTTP/1.1Host: api.ttshitu.comUpgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36Accept: application/json;Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Cookie: Hm_lvt_d92eb5418ecf5150abbfe0e505020254=1585994993,1586144399; SESSION=5ebf9c31-a424-44f8-8188-62ca56de7bdf; Hm_lpvt_d92eb5418ecf5150abbfe0e505020254=1586****Connection: closeContent-Type: application/json;charset=UTF-8Content-Length: 109
{"username":"***","password":"******","typeid":"3","image":"<@BASE64><@IMG_RAW></@IMG_RAW></@BASE64>"}

    軟件https
    本作品采用《CC 協議》,轉載必須注明作者和本文鏈接
    紅藍對抗—藍隊手冊
    2022-03-18 14:22:22
    紅藍對抗的主要目的在于,提高公司安全成熟度及其檢測和響應攻擊的能力。
    內網穿透隱秘隧道搭建
    2021-09-09 15:53:01
    構建內網隱蔽通道,從而突破各種安全策略限制,實現對目標服務器的完美控制。
    存儲系統成IT基礎設施安全薄弱環節
    2021-11-26 16:38:50
    根據網絡安全公司Continuity Software的調研報告,IT基礎設施各層級中,存儲系統的安全狀況明顯弱于計算和網絡設備這兩層。 通過分析來自400多臺企業存儲設備的數據,研究揭示了與15個漏洞相關的6300個不同安全問題,平均而言,這15個漏洞幾乎每臺企業安全設備都會遇到。調研涉及的設備來自Brocade、思科、戴爾易安信、IBM、日立數據系統和NetApp等供應商。
    Windows應急響應
    2021-11-15 12:48:10
    一旦中了勒索病毒,文件會被鎖死,沒有辦法正常訪問了,這時候,會給你帶來極大的困惱。為了防范這樣的事情出現,我們電腦上要先做好一些措施:1、安裝殺毒軟件,保持監控開啟,定期全盤掃描。把異常文件拖出來進行檢測,查看檢測結果。
    NAT Slipstreaming 攻擊使防火墻形同虛設
    2020-11-12 14:54:42
    2020年10月31日安全研究員Samy Kamka發布了一種被稱為NAT Slipstreaming的攻擊顛覆了人們對防火墻中NAT安全性認知。NAT Slipstreaming,利用誘騙了受害人訪問可能受到黑客控制的網站后,則允許攻擊者繞過受害人的網絡地址轉換或防火墻安全控制,遠程訪問綁定到受害者計算機的任何TCP/UDP服務。這種攻擊利用了對某些TCP和UDP數據包的數據部分的任意控制的優勢,而沒有包括HTTP或其他標頭。此外,還包括用于本地IP地址發現的新技術。
    最強大的搜索軟件
    2023-02-09 14:12:24
    0x01 軟件介紹Everything是大家公認的,也是當之無愧的Windows系統中本地文件搜索神器。對于任何硬盤中的文件都可以實現“秒搜”的效果。只要輸入文件的關鍵詞,就可以實時顯示相關的文件。體積非常小,占用資源也很少, Everything搜索只基于文件和文件夾的名稱,它創建數據庫速度非常快。
    Windows竊密木馬分析,你還會輕易下載Windows破解軟件嗎?
    2023-12-22 16:18:33
    一、事件簡介近期在進行Windows終端威脅狩獵時捕獲了一例通過破解軟件網站進行傳播分發的Windows竊密木馬,受害者點擊運行該木馬后,該木馬會竊取受害者電腦中Chrome、Firefox瀏覽器保存的賬號、密碼、瀏覽歷史、cookie,桌面特定格式文件,已安裝應用信息,操作系統信息,桌面截屏等敏感信息,在內存中經加密壓縮發送到遠端C2服務端。同時分析發現該木馬作者運用了解壓膨脹大文件,內存加載,
    超詳細的Wireshark使用教程
    2022-12-12 09:44:38
    小白必看:超詳細的Wireshark使用教程
    用DecoyMini部署業務系統蜜罐
    2022-04-13 03:59:34
    本文將介紹用DecoyMini免費蜜罐工具來配置仿真自有業務系統蜜罐,并演示業務系統蜜罐部署后對攻擊誘捕的實戰效果。DecoyMini支持單節點部署模式和分布式部署模式,本文示例環境以單節點模式來進行部署。創建仿真模板使用DecoyMini部署業務系統蜜罐前,需要先配置業務系統的仿真模板。DecoyMini支持通過界面編排配置,實現記錄攻擊者嘗試登錄業務系統的賬戶的功能。
    適用于紅隊行動的所有免費紅隊工具和模擬工具包
    2023-06-05 08:55:53
    是一套用于對域名進行偵察的工具。該程序會檢查 SPF 和 DMARC 記錄中是否存在允許欺騙的弱配置。用于發現計算機網絡上的主機和服務,從而構建網絡的“地圖”。自動滲透測試偵察掃描儀。不受 API 限制,因為它使用 Selenium 檢測瀏覽器。輸出報告以幫助關聯跨站點的目標。是一個 python 腳本,它檢查電子郵件帳戶是否在數據泄露中受到損害,如果電子郵件帳戶受到損害,它會繼續查找受損害帳戶的密碼。LinkedIn 枚舉工具,通過搜索引擎抓取從組織中提取有效員工姓名。
    VSole
    網絡安全專家
      亚洲 欧美 自拍 唯美 另类