项目介绍

captcha-killer的修改版，支持关键词识别base64编码的图片，添加免费ocr库，用于验证码爆破，适配新版Burpsuite

项目地址

https://github.com/f0ng/captcha-killer-modified

captcha-killer-modified 适配新版Burpsuite

原项目地址：

https://github.com/c0ny1/captcha-killer

用法与常见报错

提issue之前请说明如下字段：

1. burp版本
2. 启动burp的jdk版本
3. burp的Extender中Options配置的jdk版本

插件优化的地方

1. 修改了原项目中sun.misc.BASE64Encoder报错的问题
2. 优化了验证码data:image识别问题
3. 添加了ddddocr验证码识别库
4. 增加自定义关键词获取验证码

 

识别成功率在85%左右。

具体修改请查看微信公众号文章 https://mp.weixin.qq.com/s/_P6OlL1xQaYSY1bvZJL4Uw

更新日志

【2022-3-21】 增加可识别情况，~当出现关键字为B/base64时，进行验证码识别~

【2022-3-24】 增加自定义关键字，删减锁定按钮

 

【2022-3-30】适配data:image\/png与base64中出现\r\n情况

 

【2022-4-12】提升准确性，修改识别验证码端代码，主要修改如下：

1. 增加basic认证，方便部署在公网，使用tmux在后台运行即可
2. 对验证码识别部分进行修改，针对识别出来多位，可以进行自行删改，举例，如验证码是四位，但是ddddocr识别出来了五位，那么可以截取text=ocr.classification(img_bytes)[0:4]前四位； 如ddddocr对特定类验证码的识别中字母O与数字0识别混淆，可以进行替换text=ocr.classification(img_bytes).replace("0","O")

【2022-7-2】

1. 优化验证码对于base64的识别#10 ，原因在于base64编码中存在\n，0.16版本增加对\n的处理，感谢@DreamAndSun 师傅反馈

【2022-11-30】 0.17

1. 添加响应提取，针对获取验证码请求中有类似token字段，在登录包的同时需要token校验的情况，在需要token校验的字段使用@captcha-killer-modified@

 

2. 增加对验证码进行二次处理的案例(验证码为gif图，且验证码具体是在gif图的第二帧，无法直接识别)，见用法与常见报错

https://github.com/c0ny1/captcha-killer [插件源项目]

https://gv7.me/articles/2019/burp-captcha-killer-usage/ [插件用法]

https://github.com/sml2h3/ddddocr [验证码识别项目]

https://github.com/PoJun-Lab/blaster [验证码登录爆破]

 

标签：工具分享, burpsuite插件