△△△点击上方“蓝字”关注我****们了解更多精彩
0x00 前言
CrackCaptchaLoginPlus
1、基于模拟浏览器的登录爆破测试工具。
参考CrackCaptchaLogin 的框架进行修改, 仅保留了本地OCR识别功能,其他都已经进行重写。
新增功能较多,可通过配置文件分析所有支持的功能。
0x01 本地OCR使用方法
此步骤非必须,如果使用 本地 tess4j 识别验证码的话需要在jar同级目录下创建 tessdata目录 存放验证码识别数据,用于 tesseract-ocr 的训练识别验证码的库。
tessdata/eng.traineddata 简单英语识别库
注意:本地识别验证码没有做什么处理,误报很高,需要指定自己的训练集。
总结:本地OCR识别库准确率太低,没什么配置必要。
0x02 远程OCR使用方法
远程API OCR识别需要自己搭建ocr服务器,
工具会通过post传输base64的图片数据,返回的数据可通过正则自定义提取, 默认提取所有响应内容作为验证码。
ddddocr远程识别demo:
# ddddocr_api_simple.py
0x03 工具使用
字典配置:
username.txt 账号 字典文件
启动配置:
使用命令java -jar CrackCaptcahLogin.jar打开工具
基本使用:
根据 UI 进行手动配置
进阶使用:
如需设置每个元素的默认值和其他关键选项,便于对项目进行重复爆破,请修改 config.prop 配置文件
# 自定义启动时的配置文件名称
启动配置文件参考:
program_version=NOVASEC 3.4 20230913
0x04 工具缺陷
目前仅实现单线程及单进程爆破,如果需要多开爆破任务,就多开几个虚拟机操作
由于jxBrowser版本问题, 没有办法进行太多的自定义配置。
由于jxBrowser版本问题, 可能存在Chrome内核反制场景漏洞。
对于部分场景可能无法识别使用
0x05 总结
CrackCaptcahLogin_Plus项目地址:
https://github.com/winezer0/CrackCaptcahLogin\_Plus
压缩包文件较大,公众号后台回复关键字【共享】,获取编译版本下载地址。
参考资料:
0x99 免责声明
在学习本文技术或工具使用前,请您务必审慎阅读、充分理解各条款内容。
1、本团队分享的任何类型技术、工具文章等文章仅面向合法授权的企业安全建设行为与个人学习行为,严禁任何组织或个人使用本团队技术或工具进行非法活动。
2、在使用本文相关工具及技术进行测试时,您应确保该行为符合当地的法律法规,并且已经取得了足够的授权。如您仅需要测试技术或工具的可行性,建议请自行搭建靶机环境,请勿对非授权目标进行扫描。
3、如您在使用本工具的过程中存在任何非法行为,您需自行承担相应后果,我们将不承担任何法律及连带责任。
4、本团队目前未发起任何对外公开培训项目和其他对外收费项目,严禁任何组织或个人使用本团队名义进行非法盈利。
5、本团队所有分享工具及技术文章,严禁不经过授权的公开分享。
如果发现上述禁止行为,我们将保留追究您法律责任的权利,并由您自身承担由禁止行为造成的任何后果。
END
如您有任何投稿、问题、建议、需求、合作、请后台留言NOVASEC公众号!
或添加NOVASEC-余生 以便于及时回复。
感谢大哥们的对NOVASEC的支持点赞和关注
加入我们与萌新一起成长吧!
本团队任何技术及文件仅用于学习分享,请勿用于任何违法活动,感谢大家的支持!!