บ้าน เอกสารตัวอย่าง บายพาสรีแคปชา มันทำงานอย่างไร: แคปช่า

บายพาสรีแคปชา มันทำงานอย่างไร: แคปช่า

เทคโนโลยี Captcha (CAPTCHA) คือการทดสอบอัตโนมัติที่ออกแบบมาเพื่อระบุผู้ใช้เครื่องหรือที่เรียกว่าบ็อต

เป้าหมายของเขาคือการวางปัญหาที่มนุษย์สามารถแก้ไขได้ง่าย แต่ยากสำหรับคอมพิวเตอร์

แต่ก็มีสถานการณ์ที่สคริปต์ที่ดูเหมือนมีประโยชน์ล่วงล้ำเกินไป

มีข้อสันนิษฐานว่า Google กำลังฝึก AI ของโดรน ต้องขอบคุณผู้ใช้ที่ป้อน captcha พร้อมรูปภาพ ฉันไม่ใช่หุ่นยนต์

วิธีลบ captcha ฉันไม่ใช่หุ่นยนต์

สาเหตุของพฤติกรรมนี้อาจแตกต่างกันไป แต่คุณสามารถพยายามแก้ไขทุกอย่างได้ตลอดเวลา - เราจะดำเนินการเมื่อมีข้อยกเว้นเกิดขึ้น:

สิ่งที่น่าสนใจคือผู้ใช้อินเทอร์เน็ตป้อน captcha หลายร้อยล้านรายการทุกวัน ไม่มีความลับที่ทุกคนไม่สามารถป้อนได้อย่างถูกต้องในครั้งแรก

ขณะนี้ไซต์จำนวนมากใช้ Recaptcha จาก Google และด้วยเหตุผลที่ดี: โซลูชันที่ง่ายและสะดวกในการต่อสู้กับสแปม แต่ในขณะเดียวกัน จิตใจหลายๆ คนกำลังดิ้นรนที่จะถอดรหัสอัลกอริธึม Google Captcha เพื่อหลีกเลี่ยงมาตรการป้องกันนี้ วิธีการนี้ค่อนข้างแปลกใหม่และน่าสนใจ สิ่งที่น่าตลกก็คือเทคโนโลยีของ Google ส่วนใหญ่จะช่วยในการแฮ็ก Recaptcha สิ่งนี้เกิดขึ้นได้อย่างไรและทำไมเราจะพิจารณาในเนื้อหาของเรา

ก่อนอื่นมีทฤษฎีเล็กน้อย ในตอนแรก แนวคิดของ captcha หมายถึงการป้อนอักขระจากรูปภาพ: ตัวอักษร ตัวเลข หรือการผสมระหว่างตัวอักษรและตัวเลข เมื่อเวลาผ่านไป โปรแกรมสำหรับการรู้จำข้อความก็ปรากฏขึ้น และแคปต์ชาก็เริ่มซับซ้อนมากขึ้น: พื้นหลังเริ่มปรากฏขึ้น ตัวอักษรและตัวเลขเริ่มอยู่ในมุมหนึ่ง จำนวนอักขระสำหรับการป้อนเริ่มเปลี่ยนไป เสียงและการรบกวนถูกเพิ่มเข้าไป ไม่รวมการรับรู้อัตโนมัติ นี่คือหน้าตาของ recaptcha เวอร์ชันแรกซึ่งผู้ใช้หลายคนเกลียดมาก

ในท้ายที่สุดแล้วทั้งหมดก็ลงเอยด้วยความจริงที่ว่าการทำให้รูปภาพซับซ้อนสำหรับการป้อนข้อมูลนั้นไม่ได้ให้ผลที่เห็นได้ชัดเจน แต่เพียงทำให้ผู้ใช้ทั่วไปเข้าไปได้ยากขึ้นเท่านั้น ฉันคิดว่าหลายๆ คนจำช่วงเวลาที่พวกเขาสาบานอย่างเปิดเผย เมื่อคุณไม่เข้าใจว่าสัญลักษณ์ใดที่แสดง และไม่สามารถป้อนแคปต์ชาได้ในครั้งแรก แล้ว บริษัทกูเกิลก้าวกระโดดไปข้างหน้าโดยนำเสนอ Recaptcha 2 สู่สาธารณะ ไม่สามารถพูดได้ว่าแนวคิดนี้เป็นนวัตกรรมใหม่ - เมื่อถึงเวลานั้น การป้องกันสแปมที่น่าสนใจมากมายได้ถูกนำมาใช้แล้ว: รวบรวมปริศนาตอบคำถาม - พวกเขาทั้งหมดมี ข้อดีและข้อเสีย

Recaptcha เวอร์ชันที่สองฉลาดขึ้นและเน้นไปที่มนุษย์มากขึ้น เพียงคลิกเครื่องหมายถูกก็เพียงพอที่จะผ่านการตรวจสอบ ในสถานการณ์ที่ซับซ้อนมากขึ้น มีอคติต่อการเลือกภาพที่เหมาะสม Google ไม่ได้หยุดเพียงแค่นั้นและวางแผนที่จะแนะนำ Invisible Recaptcha ในรุ่นต่อไป คุณสามารถอ่านเพิ่มเติมได้ในบทความ แต่ในขณะเดียวกันจิตใจของแฮกเกอร์ก็หมกมุ่นอยู่กับงานว่าจะหลีกเลี่ยงระบบนี้อย่างไร: หลังจากนั้นพื้นที่ก็เปิดขึ้นสำหรับไซต์จำนวนมาก

ข้อเสียใหญ่ประการหนึ่งของ Recaptcha ทั้งหมดคือชุดค่าผสมที่จำกัด ใน recaptcha แรกเป็นชุดของคำและวลีชุดที่สองเป็นรูปภาพในจำนวนจำกัดและคำเดียวกันใน captcha เวอร์ชันเสียง (เราจะดูในภายหลังเล็กน้อย) ทั้งหมดนี้ด้วยแนวทางที่ถูกต้อง ช่วยให้คุณสามารถจำกัดขอบเขตการค้นหาวิธีแก้ไขให้แคบลงได้

จากวิธีการหลักในการแคร็ก recaptcha ฉันจะเน้นเพียงสองวิธีเท่านั้น: การเลือกรูปภาพรวมกันซึ่งจะต้องคลิกเพื่อผ่านการทดสอบ และการถอดรหัสการบันทึกเสียง

หนึ่งในวิธีที่ประสบความสำเร็จในการเลือกหมายเลขบ้านคือการใช้อัลกอริธึมการจดจำรูปภาพ จากนั้นตัวเลือกการจดจำที่ซับซ้อนมากขึ้นก็ปรากฏขึ้นซึ่งมีความเชี่ยวชาญใน Google Recaptcha แต่ Google ไม่ได้ยืนเฉย รูปภาพเริ่มถูกประมวลผลทุกประเภท: การเบลอ การยืด การบิดเบี้ยว

แฮ็ก Google Recaptcha โดยใช้ Google Speech

เมื่อปรากฎว่าวิธีการที่มีความเสี่ยงมากที่สุดซึ่งให้ผลลัพธ์ที่ดีที่สุดคือการจดจำ captcha จากสัญญาณเสียงซึ่งนำเสนอเป็น ทางเลือกอื่นฟังถ้าคุณไม่สามารถผ่านการทดสอบด้วยเหตุผลบางอย่าง การรับไฟล์เสียงนั้นค่อนข้างง่าย คุณต้องคลิกที่ไอคอนพร้อมหูฟังที่ด้านล่างของ recaptcha แล้วระบบจะเสนอข้อความเสียง

ความพยายามครั้งแรกในการโจมตี Google captcha นั้นมาพร้อมกับโปรแกรมรู้จำเสียงที่เขียนขึ้นเอง และอัตราการรู้จำค่อนข้างสูง (ส่วนหนึ่งเนื่องมาจากวลีเสียงจำนวนจำกัด) หลังจากเผยแพร่โปรแกรมสู่สาธารณะ Google ได้เปิดตัวแพตช์ที่เปลี่ยนชุดข้อความเสียงและยังเพิ่มเสียงพูดและเสียงพูดด้วย ดังนั้นจึงทำให้ฟังก์ชันการบายพาส Recaptcha ใกล้เป็นศูนย์

อย่างไรก็ตาม พบวิธีแก้ปัญหาที่ตลกมากที่นี่เช่นกัน เพื่อช่วยผู้เชี่ยวชาญด้านความปลอดภัยแฮ็ก Google Recaptcha 2... Google เองก็เข้ามาช่วยเหลือ! การใช้ Google Speech API ทำให้สามารถจดจำการแจ้งเตือนด้วยเสียง captcha ได้อย่างน่าเชื่อถือและแม่นยำ เรานำช่องโหว่นี้ไปปฏิบัติจริงและเขียนบริการเพื่อเปลี่ยนเส้นทางไฟล์เสียงให้เป็นที่รู้จัก จากนั้นแทนที่ผลลัพธ์ในช่องแบบฟอร์ม recaptcha

และหลุมนี้ได้รับการแก้ไขและปิดโดยพนักงานของ Google ตอนนี้แฮกเกอร์จะต้องแสดงความชำนาญและค้นหาอีกครั้ง วิธีการใหม่บายพาส recaptcha ระหว่างนี้เป็นต้นไป ในขณะนี้นี่เป็นตัวเลือกที่ค่อนข้างสะดวกและทนทานในการป้องกันสแปมแบบฟอร์มการติดต่อ สิ่งนี้ทำให้เกิดคำถาม: ทำไมถึงแม้จะมีอุบายของผู้โจมตี แต่ก็ไม่มีสแปมบนไซต์เลย? คำตอบนั้นค่อนข้างง่าย: Google ได้พัฒนาการป้องกันที่ค่อนข้างซับซ้อนและหลายขั้นตอนซึ่งสามารถจำกัดจำนวนการบายพาสได้ ด้วยวิธีนี้การโจมตีครั้งใหญ่จะหยุดลง ระยะเริ่มต้น: ตัวอย่างเช่น ตัวเลือกเดียวกันกับข้อความเสียงอาจใช้ไม่ได้เสมอไป บางครั้งผู้ใช้จะถูกขอให้ป้อนสัญลักษณ์แทนการฟังตัวเลข

ในระหว่างนี้เราจะรอข่าวใหม่และการหาประโยชน์ใหม่ ๆ

ขอให้เป็นวันที่ดีนะเพื่อน! หากคุณกำลังอ่านบทความนี้ แสดงว่าคุณกำลังประสบปัญหากับ Google recaptcha ซึ่งมีการใช้งานโดยไซต์จำนวนมากขึ้น แต่ผู้ใช้จำนวนมากไม่ชอบ แต่มีผู้ใช้ไซต์จำนวนมากขึ้นที่ใช้งานอยู่ ทำไมมันถึงดี ข้อเสีย และจะผ่านมันไปได้อย่างไร ทั้งหมดนี้สามารถพบได้ในบทความนี้

ReCaptcha ถูกสร้างขึ้นเพื่อปกป้องเว็บไซต์จากบอทอินเทอร์เน็ตและแปลงข้อความในหนังสือให้เป็นดิจิทัล ตั้งแต่ปี 2009 Google เป็นเจ้าของ

มีอะไรดีเกี่ยวกับเธอ

ตามที่ระบุไว้ก่อนหน้านี้ ข้อดีของ captcha ประเภทนี้คือ: การป้องกันสแปมและการแปลงข้อความในหนังสือให้เป็นดิจิทัล

ทำไมเธอถึงแย่

แน่นอนว่า captcha นี้ไม่สมบูรณ์ และบอทที่เขียนอย่างถูกต้องสามารถข้าม recaptcha ดังกล่าวได้อย่างง่ายดาย

นอกจากนี้ ผู้ใช้จำนวนมากยังประสบปัญหากับ recaptcha ซึ่งต้องแก้ไขหลายครั้ง ด้านล่างนี้ ฉันจะบอกคุณว่าฉันเติม captcha ให้เร็วขึ้นได้อย่างไร วิธีนี้นั้นง่ายอย่างแน่นอน แต่ไม่ได้ผลมากนัก แต่จะช่วยเร่งเวลาที่ใช้ในการแก้แคปต์ชา

ฉันสังเกตเห็นอะไร?

ตัวอย่างเช่น เมื่อแก้ captcha ด้วยป้ายถนน บางครั้งไม่มีป้ายจราจร เราก็คลิกข้ามทันที แต่บางครั้งก็แคปช่าที่มีป้ายบอกทาง ฯลฯ มันเกิดขึ้นเมื่อเลือกแล้วและการยืนยันถูกโอนไปยังแคปช่าอื่น เหตุใดเมื่อแก้ไขฉันพบเพียงตัวเลือกเดียว (หากมีมากกว่านั้นให้เขียนในความคิดเห็น) เมื่อคุณคลิกที่ภาพปุ่ม "ข้าม" จะถูกแทนที่ด้วย "ถัดไป" หากปุ่มถัดไปปรากฏขึ้น คุณจะไม่แก้แคปต์ชานี้ และคุณจะถูกโอนไปยังแคปต์ชาถัดไป

มีความแตกต่างหลายประการ

จะผ่านมันไปได้อย่างไรและ คุณสมบัติเล็กๆผ่านแคปช่า

1) มุมมอง ReCaptcha

ก) รูปภาพที่หายไป (ลบสิ่งที่ไม่จำเป็นออกทั้งหมด)

แคปต์ชาดังกล่าวจะถูกส่งผ่านเสมอ โดยส่วนตัวแล้วฉันไม่เคยมีปัญหากับแคปช่าประเภทนี้เลย

b) การเลือกรูปภาพหรือส่วนของรูปภาพ (ฉันจะยกตัวอย่างด้านล่าง)

ฉันมีปัญหาในการเลือกรูปภาพ แต่ฉันไม่เข้าใจว่าทำไม ตัวอย่างเช่น ในภาพด้านล่าง งานระบุว่า: "เลือกช่องสี่เหลี่ยมทั้งหมดที่มีป้ายถนน หากไม่มี ให้คลิกปุ่ม "ข้าม" ในความเป็นจริงก็มี ป้ายถนน P="parking" แต่ ReCaptcha จะไม่นับ เนื่องจากแทนที่จะกดปุ่ม "ข้าม" ปุ่ม "ถัดไป" จะปรากฏขึ้น แม้ว่าจะมีป้ายจราจรอยู่ในงาน แต่บางทีนักพัฒนา ReCaptcha อาจไม่คิดเช่นนั้น สถานการณ์ตรงกันข้ามก็เกิดขึ้นเช่นกัน แต่ฉันจะไม่ยกตัวอย่างในบทความ ฉันคิดว่าทุกอย่างชัดเจนสำหรับทุกคน

2) หากนี่คือแคปช่าที่มีรูปภาพไม่หายไป ให้เลือกหนึ่งช่องและดูการเปลี่ยนแปลงในปุ่ม "ข้าม"

ก) หากปุ่มเปลี่ยนเป็นปุ่ม "ถัดไป" คุณจะไม่ผ่านแคปต์ชาดังกล่าวแม้ว่าจะมีวิธีแก้ปัญหาก็ตาม

b) หากปุ่มเปลี่ยนเป็นปุ่ม "ยืนยัน" คุณจะผ่านแคปช่านี้หากคุณผ่านอย่างถูกต้อง

ขอแสดงความนับถือ Mars Magafurov

ไม่นานมานี้ Google ได้เสริมฟังก์ชันการทำงานของ ReCaptcha v2 ด้วย captcha ที่มองไม่เห็น
สามารถดูตัวอย่างได้ที่ลิงค์นี้:
https://www.google.com/recaptcha/api2/demo?invisible=true

ตอนนี้ผู้ใช้มักจะไม่จำเป็นต้องคลิกช่องทำเครื่องหมาย "ฉันไม่ใช่หุ่นยนต์" แคปช่าเองก็ปรากฏในเลเยอร์ที่มองไม่เห็น โดยเลื่อนเพิ่มเติม 10,000 px ที่ด้านบนของหน้าและผู้ใช้จะมองไม่เห็น การส่งแคปต์ชาจะเริ่มต้นในขณะที่ส่งแบบฟอร์มเท่านั้น หากคุกกี้ของผู้ใช้ดี เขาจะไม่สังเกตเห็นว่ามีแคปช่าด้วยซ้ำ หากคุกกี้ไม่ค่อยดีนัก เมื่อส่งแบบฟอร์ม เขาจะได้รับ recaptcha มาตรฐานทันทีที่กึ่งกลางหน้าจอ โดยจะต้องเลือกหลายภาพ

โดยทั่วไปหลักการทำงานของ recapthca ไม่มีการเปลี่ยนแปลงเลย แต่ลูกค้าบริการเว็บไซต์บางรายประสบปัญหา หากในงานของคุณคุณสร้างคำขอ POST ที่มี "g-recaptcha-response" ไปยังไซต์ที่ติดตั้ง captcha คุณจะไม่สังเกตเห็นการเปลี่ยนแปลงด้วยซ้ำ ปัญหาเกิดขึ้นในหมู่ลูกค้าที่ใช้กลไกเบราว์เซอร์เพื่อดำเนินการใดๆ โดยอัตโนมัติ เช่น ไซลีเนียม

ฉันควรทำอย่างไรเพื่อเปิดใช้งาน Invisible ReCaptcha ในเบราว์เซอร์ของฉัน
1) ตัด div ที่มี recaptcha ออกจากเนื้อหาของเอกสาร:

2) ตัดบล็อกทั้งหมดออก

var onSuccess = function(response) ( var errorDivs = document.getElementsByClassName("recaptcha-error"); ถ้า (errorDivs.length) ( errorDivs.className = ""; ) var errorMsgs = document.getElementsByClassName("recaptcha-error-message "); if (errorMsgs.length) ( errorMsgs.parentNode.removeChild(errorMsgs); ) document.getElementById("recaptcha-demo-form").submit(););

3) ใส่รหัสต่อไปนี้:
%g-recaptcha-ตอบกลับ%

โดยที่ %g-recaptcha-response% เป็นโค้ดที่คุณได้รับจาก 2captcha.com

4) คุณจะมีปุ่ม "ส่งคำถาม" เมื่อคุณคลิก คุณจะส่งข้อมูลแบบฟอร์มและการตอบสนอง g-recaptcha ทั้งหมดไปยังไซต์ที่ติดตั้ง captcha

ด้วยวิธีง่ายๆ นี้ เราจะเปลี่ยน Invisible ReCaptcha ให้เป็น ReCaptcha V2 ปกติแล้วส่งต่อ

และนักพัฒนาที่ไม่เลียนแบบเบราว์เซอร์ แต่ส่งคำขอ POST ทันที จะไม่สังเกตด้วยซ้ำว่า recaptcha เปลี่ยนเป็นมองไม่เห็น

Google reCaptcha v2 หยุดเป็นปัญหาสำหรับผู้ใช้ของเราแล้ว เราได้แนะนำการผสานรวมกับบริการบายพาส captcha ยอดนิยม Death By Captcha และตอนนี้เครื่องขูดของคุณสามารถข้าม captcha ล่าสุดได้อย่างง่ายดาย

มาดูกันว่า reCaptcha v2 มีหน้าตาเป็นอย่างไร:

หากคุณเห็นแคปช่าดังกล่าวบนเว็บไซต์ ที่คุณต้องแยกวิเคราะห์บทความนี้จะช่วยคุณได้อย่างแน่นอน เราจะพยายามให้คำแนะนำที่ครอบคลุมแก่คุณ ตัวอย่างจริงเพื่อให้คุณสามารถใช้โซลูชันที่คล้ายกันกับไซต์ของคุณได้อย่างง่ายดาย เราจะแยกวิเคราะห์ไซต์ต่อไปนี้: http://www.receita.fazenda.gov.br/PessoaJuridica/CNPJ/cnpjreva/Cnpjreva_Solicitacao2.asp

เพื่อที่จะใช้ฟังก์ชันนี้ คุณต้องมีบัญชีของคุณเองในบริการ Death by Captcha บริการของพวกเขาไม่ฟรี ค่าใช้จ่ายในการแก้ไข 100 captcha อยู่ที่ประมาณ 2.89 ดอลลาร์ (ราคาปัจจุบัน ณ วันที่ 28/02/2018)

การแก้ไข captcha จะเกิดขึ้นโดยอัตโนมัติ คุณเพียงแค่ต้องโหลดหน้าด้วย captcha ลงในเครื่องขูดของคุณและเรียกใช้คำสั่ง captcha_resolve พิเศษพร้อมพารามิเตอร์บางอย่าง:

prodiver : ผู้ให้บริการโซลูชัน captcha จำเป็นต้องตั้งค่า deathbycaptcha.com
type : captcha type จำเป็นต้องตั้งค่า nocaptchav2
ชื่อผู้ใช้ : ชื่อผู้ใช้ที่คุณเสียชีวิตโดยบัญชี captcha
รหัสผ่าน : รหัสผ่านสำหรับบัญชีของคุณในการตายโดยระบบ captcha

ความสนใจ!!! เพื่อให้แก้ไข captcha ประเภทนี้ได้สำเร็จ ผู้ที่จะแก้ไข captcha ของคุณด้วยตนเองจะต้องดำเนินการดังกล่าวภายใต้ที่อยู่ IP เดียวกันกับที่ parser ของคุณใช้ ดังนั้นทางเลือกเดียวที่จะบรรลุเป้าหมายนี้คือการใช้พร็อกซีเซิร์ฟเวอร์ของคุณเองในการกำหนดค่าผู้ขุดของคุณ พร็อกซีเซิร์ฟเวอร์ปกติของเราไม่สามารถเข้าถึงได้จากที่อยู่ IP นอกเครือข่ายหลักของเรา ดังนั้นพร็อกซีปกติจะไม่ทำงานในกรณีนี้ ในอนาคต เราจะแนะนำกลุ่มพร็อกซีเซิร์ฟเวอร์พิเศษสำหรับงานนี้ แต่ตอนนี้คุณจะต้องใช้พร็อกซีของคุณเอง

รหัสพื้นฐานของ parser ของเราจะเป็นดังนี้:

กำหนดค่า: ดีบัก: 2 เอเจนต์: พร็อกซี Firefox: ควรใส่พร็อกซีของคุณที่นี่: # เราจะทำซ้ำคำขอที่ล้มเหลวดังนั้นเราจะเขียน ค่าตัวแปร, # ซึ่งตัวเลือกการทำซ้ำจะใช้ - Variable_set: field: ค่าซ้ำ: "ใช่" # โหลดหน้าด้วย captcha - เดิน: ไปที่: http://www.receita.fazenda.gov.br/PessoaJuridica/CNPJ/cnpjreva /cnpjreva_solicitacao2.asp ทำซ้ำ: ทำ: # แก้ปัญหา captcha - captcha_resolve: ผู้ให้บริการ: deathbycaptcha.com ประเภท: nocaptchav2 ชื่อผู้ใช้: ชื่อผู้ใช้ของคุณในบริการ DBC รหัสผ่าน: รหัสผ่านของคุณในบริการ DBC

อย่าเพิ่งรัน parser ของคุณ เพียงแค่ศึกษาโค้ด

กำหนดค่า: ดีบัก: 2 เอเจนต์: พร็อกซี Firefox: ควรใส่พร็อกซีของคุณควรที่นี่ ทำ: # เราจะทำซ้ำคำขอที่ล้มเหลว ดังนั้นเราจะเขียนค่าของตัวแปร # ที่จะใช้โดยตัวเลือกการทำซ้ำ - ตัวแปร_ชุด: ฟิลด์: ทำซ้ำ ค่า: "ใช่" # โหลดหน้าจาก captcha - เดิน: ไปที่: http://www.receita.fazenda.gov.br/PessoaJuridica/CNPJ/cnpjreva/cnpjreva_solicitacao2.asp ทำซ้ำ: ทำ: # แก้ไข captcha - captcha_resolve: ผู้ให้บริการ : deathbycaptcha.com ประเภท: nocaptchav2 ชื่อผู้ใช้: ชื่อผู้ใช้ของคุณในรหัสผ่านบริการ DBC: รหัสผ่านของคุณในบริการ DBC # ไปที่บล็อกเนื้อหา - ค้นหา: เส้นทาง: ร่างกายทำ: # อ่านค่าของตัวแปร captcha ลงในการลงทะเบียน - Variable_get: captcha # ตรวจสอบว่ารีจิสเตอร์ของเราว่างเปล่าหรือไม่ - ถ้า: ตรงกัน: \w+ ทำ: # ถ้าไม่ว่าง ให้ปิดการใช้งานการทำซ้ำ - Variable_set: field: ค่าซ้ำ: "no" # ส่งโทเค็นและพารามิเตอร์อื่น ๆ ไปยังไซต์ที่เรา รวบรวมข้อมูล