2017年4月21日 星期五

圖形驗證碼(CAPTCHA)的暴力帳號、密碼破解工具

緣起:進行網站滲透測試,通常第一關就是使用者登入頁面,現今的登入頁多會加入圖形驗證,傳統的暴力破解工具--像 hydra 或 patator 根本派不上用場,才會想開發可以處理圖形驗證碼的工具。
聲明:此工具是為滲透測試的目的而開發,請勿用於非法目的。
感謝:Rémi THOMAS提供免費的tessnet2專案,本工具是藉用 tessnet2 進行圖形OCR。
限制:1. 辨識成功率取決於圖形的複雜度,如果雜點及噪音線的顏色與文字過於接近,或文字的顏色漸層落差過大,辨識率會大幅下降。
2. 目前無法提供多執行緒破解,因此一次只能處理一組請求,但可以執行多個實體模擬多執行緒。
3. 目前提供的版本是初版,只試用過5個網站,尚未接受各方磨練,如有改進之次,請不吝提供建議。
懇求:由於工具的使用相當複雜,且必須佐以人為輔助才能提高辨識率,如果您對此工具有興趣,請仔細閱讀使用說明,不要直接提問如何使用,也請不要問我如何破解別人的網站。

如果您對此工具有興趣,可從下列 資訊取得。 

軟體使用說明:請參考「CodeCrack(圖形驗證碼暴力破解工具)使用說明

執行檔下載CodeCrackWin.ZIP(記得調整設定檔 CodeCrackWin.config)

原始碼下載CodeCrackWin-source.ZIP (本專案是用 Visual Studio 2008開發的)

範例網頁CodeCrackDemo.ZIP (請自行掛載到IIS)

2 則留言:

  1. 回覆
    1. 雖是分享,但它還不夠完美,只算是沒有自動化工具下的「不得已選擇」。
      畢竟OCR仍有其限制,我會再努力提高它的準確度。
      也感謝您的鼓勵!

      刪除