我安装的是burpsuite v.2021版本,于2020年后,使用的captcha-killer链接地址如下:
(burp版本为2020年前的可查看文末链接1)GitHub - Ta0ing/captcha-killer-java8
https://github.com/Ta0ing/captcha-killer-java8
下载zip文件并解压文件
打开burpsuite,Extender扩展 - Add添加.jar文件 -Select file选择文件 - Next - Close
插件安装成功如下:
网络设置中开启代理,如果使用的是火狐浏览器在火狐浏览器设置中开启代理,proxy代理中intercept is on进行抓包,在proxy中抓取验证码请求包,或发送到repeater重发器(图中为repeater页面),右键将数据包发送到captcha-killer,如图所示:
接口选择:
使用captcha-killer并不能进行验证码识别,还需要依赖第三方工具的使用。网上常见的方法有以下三种:
本次使用的是方法三,百度文字识别,具体步骤如下
a. 登陆百度大脑官网https://ai.baidu.com/ ,领取通用文字识别
参考链接:https://ai.baidu.com/ai-doc/REFERENCE/Ck3dwjhhu
领取后需要等待,预计30分钟内到账
b.创建应用:
假设命名为read:
需要记下API Key、Secret Key,以便后续获取access-token.
access_token的有效期为30天,需要每30天进行定期更换
access_token的获取方法:
https://aip.baidubce.com/oauth/2.0/token?grant_type=client_credentials&client_id=****&client_secret=****将上面的链接修改成自己的参数,具体如下:
在burpsuite的captcha-killer模块左下角请求中右键使用baidu orc模块,粘贴token,点击识别
返回respones raw,下拉到最下方,对识别结果位置标出右键标记为识别结果,点击匹配
抓包发送到intruder
intruder有4个模块:
sniper :使用单一payload组,常见漏洞请求中单独进行fuzz测试
Battering ram :使用单一payload组,常用于在请求中把相同的输入放到多个位置
Pitchfork :多个payload组,常用于不同位置,本次使用的pitchfork
Cluster bomb :多个payload组,进行交集破解
此处设置了两个变量,一个为password,一个为验证码
设置payloads:
Start attack开始爆破:
建议Options中的线程为1
注意:如果出现问题可以考虑下路径上是否存在中文
最后可根据返回值的长度Length查看是否成功(这里没有爆破成功,但达到预期效果了)
使用百度云识别结果精确度和准确度不高,只能识别超好识别的验证码。可以使用ddddocr或自己编写代码提高准确性。如图为百度api识别其他网站验证码结果发生错误。
参考链接:
连接3:https://blog.csdn.net/weixin_45808483/article/details/121392526
给定这段代码defcreate@upgrades=User.update_all(["role=?","upgraded"],:id=>params[:upgrade])redirect_toadmin_upgrades_path,:notice=>"Successfullyupgradeduser."end我如何在该操作中实际验证它们是否已保存或未重定向到适当的页面和消息? 最佳答案 在Rails3中,update_all不返回任何有意义的信息,除了已更新的记录数(这可能取决于您的DBMS是否返回该信息)。http://ar.ru
我想安装一个带有一些身份验证的私有(private)Rubygem服务器。我希望能够使用公共(public)Ubuntu服务器托管内部gem。我读到了http://docs.rubygems.org/read/chapter/18.但是那个没有身份验证-如我所见。然后我读到了https://github.com/cwninja/geminabox.但是当我使用基本身份验证(他们在他们的Wiki中有)时,它会提示从我的服务器获取源。所以。如何制作带有身份验证的私有(private)Rubygem服务器?这是不可能的吗?谢谢。编辑:Geminabox问题。我尝试“捆绑”以安装新的gem..
我想为Heroku构建一个Rails3应用程序。他们使用Postgres作为他们的数据库,所以我通过MacPorts安装了postgres9.0。现在我需要一个postgresgem并且共识是出于性能原因你想要pggem。但是我对我得到的错误感到非常困惑当我尝试在rvm下通过geminstall安装pg时。我已经非常明确地指定了所有postgres目录的位置可以找到但仍然无法完成安装:$envARCHFLAGS='-archx86_64'geminstallpg--\--with-pg-config=/opt/local/var/db/postgresql90/defaultdb/po
在选择我想要运行操作的频率时,唯一的选项是“每天”、“每小时”和“每10分钟”。谢谢!我想为我的Rails3.1应用程序运行调度程序。 最佳答案 这不是一个优雅的解决方案,但您可以安排它每天运行,并在实际开始工作之前检查日期是否为当月的第一天。 关于ruby-如何每月在Heroku运行一次Scheduler插件?,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.com/questions/8692687/
我希望我的UserPrice模型的属性在它们为空或不验证数值时默认为0。这些属性是tax_rate、shipping_cost和price。classCreateUserPrices8,:scale=>2t.decimal:tax_rate,:precision=>8,:scale=>2t.decimal:shipping_cost,:precision=>8,:scale=>2endendend起初,我将所有3列的:default=>0放在表格中,但我不想要这样,因为它已经填充了字段,我想使用占位符。这是我的UserPrice模型:classUserPrice回答before_val
我对最新版本的Rails有疑问。我创建了一个新应用程序(railsnewMyProject),但我没有脚本/生成,只有脚本/rails,当我输入ruby./script/railsgeneratepluginmy_plugin"Couldnotfindgeneratorplugin.".你知道如何生成插件模板吗?没有这个命令可以创建插件吗?PS:我正在使用Rails3.2.1和ruby1.8.7[universal-darwin11.0] 最佳答案 随着Rails3.2.0的发布,插件生成器已经被移除。查看变更日志here.现在
我打算为ruby脚本创建一个安装程序,但我希望能够确保机器安装了RVM。有没有一种方法可以完全离线安装RVM并且不引人注目(通过不引人注目,就像创建一个可以做所有事情的脚本而不是要求用户向他们的bash_profile或bashrc添加一些东西)我不是要脚本本身,只是一个关于如何走这条路的快速指针(如果可能的话)。我们还研究了这个很有帮助的问题:RVM-isthereawayforsimpleofflineinstall?但有点误导,因为答案只向我们展示了如何离线在RVM中安装ruby。我们需要能够离线安装RVM本身,并查看脚本https://raw.github.com/wayn
我有一个奇怪的问题:我在rvm上安装了rubyonrails。一切正常,我可以创建项目。但是在我输入“railsnew”时重新启动后,我有“程序'rails'当前未安装。”。SystemUbuntu12.04ruby-v"1.9.3p194"gemlistactionmailer(3.2.5)actionpack(3.2.5)activemodel(3.2.5)activerecord(3.2.5)activeresource(3.2.5)activesupport(3.2.5)arel(3.0.2)builder(3.0.0)bundler(1.1.4)coffee-rails(
我刚刚为fedora安装了emacs。我想用emacs编写ruby。为ruby提供代码提示、代码完成类型功能所需的工具、扩展是什么? 最佳答案 ruby-mode已经包含在Emacs23之后的版本中。不过,它也可以通过ELPA获得。您可能感兴趣的其他一些事情是集成RVM、feature-mode(Cucumber)、rspec-mode、ruby-electric、inf-ruby、rinari(用于Rails)等。这是我当前用于Ruby开发的Emacs配置:https://github.com/citizen428/emacs
我有一个表单,其中有很多字段取自数组(而不是模型或对象)。我如何验证这些字段的存在?solve_problem_pathdo|f|%>... 最佳答案 创建一个简单的类来包装请求参数并使用ActiveModel::Validations。#definedsomewhere,atthesimplest:require'ostruct'classSolvetrue#youcouldevencheckthesolutionwithavalidatorvalidatedoerrors.add(:base,"WRONG!!!")unlesss