• Stars
    star
    1,373
  • Rank 34,254 (Top 0.7 %)
  • Language
    Java
  • Created over 2 years ago
  • Updated 4 months ago

Reviews

There are no reviews yet. Be the first to send feedback to the community and the maintainers!

Repository Details

captcha-killer的修改版,支持关键词识别base64编码的图片,添加免费ocr库,用于验证码爆破,适配新版Burpsuite

captcha-killer-modified 适配新版Burpsuite

原项目地址: https://github.com/c0ny1/captcha-killer

用法与常见报错

免责声明

该工具仅用于安全自查检测

由于传播、利用此工具所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。

本人拥有对此工具的修改和解释权。未经网络安全部门及相关部门允许,不得善自使用本工具进行任何攻击活动,不得以任何方式将其用于商业目的。

文章案例

https://github.com/c0ny1/captcha-killer [插件源项目]

https://gv7.me/articles/2019/burp-captcha-killer-usage/ [插件用法]

https://github.com/sml2h3/ddddocr [验证码识别项目]

https://github.com/PoJun-Lab/blaster [验证码登录爆破]

https://www.cnblogs.com/4geek/p/17145385.html#!comments [captcha-killer-modified详细用法及部分问题解决方案(如验证码识别位数问题)]

交流群

image

二维码失效请加微信f-f0ng、备注captchakillermodified交流

关注主页公众号(only security),回复captchakillermodified获取下载地址】

提issue之前请说明如下字段:

  1. burp版本
  2. 启动burp的jdk版本
  3. burp的Extender中Options配置的jdk版本

插件优化的地方

  1. 修改了原项目中sun.misc.BASE64Encoder报错的问题

  2. 优化了验证码data:image识别问题

  3. 添加了ddddocr验证码识别库

  4. 增加自定义关键词获取验证码

image

识别成功率在85%左右。

具体修改请查看微信公众号文章 https://mp.weixin.qq.com/s/_P6OlL1xQaYSY1bvZJL4Uw

更新日志

【2022-3-21】 增加可识别情况,当出现关键字为B/base64时,进行验证码识别

【2022-3-24】 增加自定义关键字,删减锁定按钮

image

image

【2022-3-30】适配data:image\/png与base64中出现\r\n情况

image

【2022-4-12】提升准确性,修改识别验证码端代码,主要修改如下:

  1. 增加basic认证,方便部署在公网,使用tmux在后台运行即可

  2. 对验证码识别部分进行修改,针对识别出来多位,可以进行自行删改,举例,如验证码是四位,但是ddddocr识别出来了五位,那么可以截取text=ocr.classification(img_bytes)[0:4]前四位;

    如ddddocr对特定类验证码的识别中字母O与数字0识别混淆,可以进行替换text=ocr.classification(img_bytes).replace("0","O")

【2022-7-2】

  1. 优化验证码对于base64的识别#10 ,原因在于base64编码中存在\n0.16版本增加对\n的处理,感谢@DreamAndSun 师傅反馈

【2022-11-30】 0.17

  1. 添加响应提取,针对获取验证码请求中有类似token字段,在登录包的同时需要token校验的情况,在需要token校验的字段使用@captcha-killer-modified@

image

  1. 增加对验证码进行二次处理的案例(验证码为gif图,且验证码具体是在gif图的第二帧,无法直接识别),见用法与常见报错

【2022-12-9】 0.18

  1. 添加@captcha@参数替代验证码,方便在repeater参数内进行测试

image

【2022-12-14】 0.19

增加URL解码、过滤图片编码中的.

【2022-12-23】 0.20

修复了url识别问题、爆破顺序错乱问题、响应包直接为base64编码导致爆破失败问题

【2023-2-1】 0.21

  • 增加默认验证码模板ddddocr,适配codereg.py

image

  • 增加识别结果关键字显示,方便查看关键字是否与验证码对应

image

【2023-2-10】 0.21-beta

  • 优化验证码编码中的\n处理
  • 优化@captcha@的判断方式

【2023-3-14】 0.22 重要问题修复

  • 修复了装载插件会影响proxy选项卡的问题

【2023-3-28】 0.23

【2023-5-22】 0.24

  • 修复验证码在intruder中无法显示的bug
  • 再次修复了装载插件会影响proxy选项卡的问题

【2023-7-2】 0.24.1

  • 修复加载插件影响intruder速度的问题(临时增加了一个按钮控制是否开启该插件)
image

f

More Repositories

1

autoDecoder

Burp插件,根据自定义来达到对数据包的处理(适用于加解密、爆破等),类似mitmproxy,不同点在于经过了burp中转,在自动加解密的基础上,不影响APP、网站加解密正常逻辑等。
Java
863
star
2

log4j2burpscanner

CVE-2021-44228 Log4j2 BurpSuite Scanner,Customize ceye.io api or other apis,including internal networks
Java
793
star
3

poc2jar

Java编写,Python作为辅助依赖的漏洞验证、利用工具,添加了进程查找模块、编码模块、命令模块、常见漏洞利用GUI模块、shiro rememberMe解密模块,加快测试效率
Java
696
star
4

JavaFileDict

Java应用的一些配置文件字典,来源于公开的字典与平时收集
286
star
5

autoDecoder-usages

autoDecoder的用法及案例,包含加解密方法、绕waf、替换参数等操作。
Python
183
star
6

selistener

用于解决判断出网情况的问题,以http、ldap、rmi以及socket形式批量监听端口,在web界面进行结果查看
Go
116
star
7

text4shellburpscanner

text4shell(CVE-2022-42889) BurpSuite Scanner
Java
20
star
8

ModifyNavigator

谷歌浏览器插件,自动修改电脑端浏览器的Navigator变成移动端Navigator
JavaScript
13
star
9

seeyon

Python
7
star
10

fastjsondnslog

Python
4
star
11

alfred-workflow

自用的一些alfred工作流
4
star
12

fileprocessing

file 处理
Python
4
star
13

JSLinkFinderDuplicateremoval

JSLinkFinder
Python
4
star
14

403bypass

Python
4
star
15

iptotext

Python
3
star
16

shiro_attack_https

Java
3
star
17

simpleplayer

simple android player
Java
2
star
18

f0ng

2
star
19

log4jscanner

log4j burp插件
Python
1
star
20

coremailleak

Python
1
star