BURP验证码自动识别全流程实战
开始前,请下载包含所有插件与脚本的实验包:
点击下载实战资源包 (.rar)一、 环境安装 (Environment)
pip install ddddocr aiohttp
二、 运行识别服务端 (API Server)
📢 操作技巧: 进入解压文件夹,在地址栏输入
cmd 并回车,在弹出窗口运行:
python BP-ORC-CPU版本.py
看到 Running on http://0.0.0.0:8888 后保持窗口开启。
三、 插件导入 (Extensions)
Burp Extensions -> Add,导入 CaptchaKiller-Modified.jar:
拦截验证码请求后,右键 -> Send to captcha-killer-modified:
四、 关键字配置与自动识别
设置关键字定位图形位。如果响应是 Base64 或 data:image 开头,插件将自动解析:
💡 自动识别: Base64 类数据流无需手动正则,插件可一键 OCR 识别。
接口填入 http://127.0.0.1:8888,识别测试:
五、 Intruder 联动设置
1. 模式选 Pitch fork,标记位置:
2. Payload 2 选插件生成器,参数位填入调用标签:
@captcha-killer-modified@
六、 实战成功展示
点击 Start attack,识别成功并完成爆破:
