用Google破解Google的ReCaptchav2 验证码

早在2016年,我就开始研究如何才能绕过Google的ReCaptcha v2验证码系统,而且我也想知道对于一名攻击者来说,绕过这种验证码系统的难度到底有多少。如果有哪一种验证码绕过技术可以在任何环境下都能很好地工作,而不只是针对某些特殊情况的话,那就非常完美了。

因此,我认为有必要跟大家介绍这种名叫ReBreakCaptcha的攻击方法,我们可以用这种新型的绕过技术来绕过Google的ReCaptcha v2验证码系统。

ReBreakCaptcha的实现主要由以下三个步骤组成:

1.语音Challenge(验证码获取)-得到正确的challenge类型;

2.Recognition(识别)-转换Audiochallenge的音频信息,然后将其发送给Google的语音识别API(Speech Recognition API);

3.Verification(验证)-验证语音识别的结果,然后绕过ReCaptcha;

ReBreakCaptcha第一步:语音Challenge

ReCaptcha v2的challenge主要有以下三种类型:

-图片Challenge:这种Challenge信息中包含一张由9个子图片组成的图片以及需要选择的图片描述,系统会要求用户根据提供的描述信息选择相应的子图片;

-语音Challenge:这种Challenge信息中包含一段语音信息,系统会要求用户输入他们所听到的数字;

-文本Challenge:这种Challenge信息中包含五个候选文本以及用户所需要选择的对象种类,系统会要求用户选择相应种类的单词。

我们可以利用ReBreakCaptcha来对付ReCaptchav2的语音Challenge,所以我们需要解决的问题就是如何能够每次都能获取到语音Challenge。

当我们点击了ReCaptchav2中的“I’m not a robot”(我不是机器人)选项之后,系统通常会给我们现实以下Challenge类型:

2.png

上图所示的即为图片Challenge,如果想要发起语音Challenge的话,我们需要点击如下图所示的按钮:

接下来,系统会要求我们完成语音验证,而这种类型的Challenge是很容易绕过的:

4.png

可能有些同学已经发现了,除了语音Challenge之外,有时你可能还会遇到如下图所示的文本Challenge:

5.png

为了绕过验证系统并获取到相应的验证语音,你可以直接点击“Reload Challenge”(重载Challenge)按钮,直到你得到正确的Challenge类型为止。下图所示即为“Reload Challenge”按钮:

那么我们现在要做什么呢?当然是绕过ReCaptcha啦!那么具体应该怎么做呢?没错,此时就是Google语音识别API登场的时候了。

ReBreakCaptcha第二步:识别

这是最有意思的步骤了,我们将要利用Google提供的服务来黑掉它自己的另一个服务!

让我们回到语音Challenge的话题上,先看下面这张图片:

7.png

上图即为验证系统的语音Challenge界面,这个界面主要由以下几种控制组件组成:

  1. 一个播放按钮:用来播放验证码;
  2. 一个文本框:用来给用户输入听到的验证码;
  3. 一个下载按钮:下载验证语音;

现在,我们需要下载语音验证文件,然后再把它发给Google的语音识别API。在动手之前,我们还需要将该文件转换成“wav”格式,因为Google的语音识别API只能识别这种类型。现在我们手上已经拿到了语音验证文件了,然后准备把它发给Google的语音识别服务。可是这该如何实现呢?是的,我们还需要使用一些其他的API。

这里给大家推荐一个非常好用的Python库(SpeechRecognition),它支持多种在线/离线引擎和API,我们可以用它来完成语音识别的任务。当然了,我们将使用这个库来对接Google的语音识别API。当我们发送了“wav”音频文件之后,SpeechRecognition将会把语音识别的结果以字符串的形式返回给我们(例如‘25143’)。

ReBreakCaptcha第三步:验证

这一步相对来说就比较简单了,我们现在只需要将第二步的识别结果复制粘贴到文本输入框之内,然后点击ReCaptcha的“Verify”(验证)按钮就可以了。没错,我们现在可以用Google自己的服务来半自动化地绕过Google的另一个服务了。

本文转自d1net(转载)

时间: 2024-10-24 16:44:51

用Google破解Google的ReCaptchav2 验证码的相关文章

Google 破解 SHA-1算法,到底为啥? | 宅客漫谈

      前几天, Google 破解 SHA-1 算法的新闻刷了我的朋友圈. 其实"破解"二字不太准确,实际应该是  公布了一个攻破SHA-1算法的实例. 对此新闻, 我看到了两种不同的评论: A:哇好牛X呀,居然破解了SHA-1加密算法,世界好危险,我要不要回火星? B:谷歌这次只是花费了大量的计算资源,验证了一下破解算法,没啥可牛X的.本大爷几年前就知道 SHA-1 算法不安全了.. 今天宅客频道本着求真的精神, 今天就来好(sui) 好 (bian) 聊聊: 一.谷歌此次成果

我们用Google赚Google的钱

google 我们用Google赚Google的钱,这是我前一段很好玩儿的实验,大家都知道Google的广告联盟有一个火狐浏览器,我们只要做一个简单的页面,做成英文的,跟Google的广告联盟,在Google上投广告,推广这个火狐页面广告.获得每次点击最贵大概需要一块多人民币每三个点击都有一个转化,投入三个点击可以转化成一个下载(一个点击1.2元三个是3.6元).十个点击就是三.四个下载,一个下载是一美金,三个下载是三美金,就是24元,你投的广告只有3.6元,这样的话等于收入上就有20元.

解读Google+为Google 搜索结果带来的4个直观影响

Google+是google自己推出的社交网络,我们都很清楚其对于Google seo的影响,但是具体具体细节很多站长并没有认真的分析.我们目前具体还不了解Google+在Google排名算法中所起的作用,但是我们已经可以看到其对于Google 搜索结果(以下简称SERP)的直观影响.下文中我们将看到四个Google+给Google SERP带来的改变. 一:在Google SERP上的注释 这点可以很清楚的在Google的SERP页面上看到改变,一般我们的SERP只有标题以及描述,但是Goog

用google找google

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 近期的流量报告中,我的 "google吧" 每日近一千的访问量来自用google找google,查了一下,[中文简体排名第二,繁体排名第四]下表: /google/archives/Image013.jpg

Google的Google X实验室完成另一个机器人梦想

安迪·鲁宾(Andy Rubin)通过Android系统完成了一个机器人梦想,现在这位机器人发烧友在Android一统江湖后,正在Google的Google X实验室完成另一个机器人梦想,从"软件"回归到"硬件". 很喜欢Rubin的这种态"鲁宾表示:"我有过将自己的爱好带到职业中的历史.这是世界上最伟大的工作.作为一位工程师和爱捣鼓的人,你应该想想为自己开发点什么." <纽约时报>报道称,在辞去Android部门主管后,A

Google不得不研发新的验证码生成算法

摘要: 对于用街景车采集地图信息的Google来说,怎么让机器看懂每家风格和字体都不同的门牌号是个问题,因此衍生出了Google的图像识别算法据Google在近几天的ICL上更新的paper来看,Google在这 对于用街景车采集地图信息的Google来说,怎么让机器看懂每家风格和字体都不同的门牌号是个问题,因此衍生出了Google的图像识别算法--据Google在近几天的ICL上更新的paper来看,Google在这方面的识别精确率已达到90%以上. 但这也造成一个问题:如果机器可以轻松识别包

Google+破解鬼城恶评:Hangouts成杀手级应用

中介交易 SEO诊断 淘宝客 云主机 技术大厅 北京时间9月21日消息,据国外媒体报道,美国<连线>杂志网络版撰稿人蒂姆·卡莫迪(Tim Carmody)今天撰文指出,Google+并非是一座"鬼城",而Hangouts无疑是Google+上的杀手级应用. 谷歌在今年6月推出社交服务Google+,在过去1个多月,Google+进行了多项改进,但这些改进并不足以吸引用户重返页面. 美国公共广播公司(PBS)旗下MediaShift记者丹·雷默德(Dan Reimold)周一

Google+与Google加密搜索将全面影响统计格局

Google近日在其官方博客宣布,在接下来几个星期里,Google将会对登录的用户进行搜索加密.也就是当用户登录了Google账号后,搜索 时会自动跳转到"https://www.google.com",而不是以前的"http".此举是为了用户信息安全考虑,特别是兲朝以及使用公共无线 网络的用户.但是这一举措却让统计市场的格局发生一点变化.是的,统计不到了! 按照官方的说法,作为网站主,你仍然可以从统计工具中看到 Google来的流量,但是却不知道具体的"

Google 关闭 Google Feed API

Google开发者博客宣布将于2016年9月29日关闭Google Feed API .Google Feed API允许开发者使用几行JavaScript代码在网站或应用内整合任何公开的Atom.RSS或Media RSS feed.Google建议用户到9月29日停止运作前确保不再使用该API.难以跟踪用户的RSS Feed日益不受Google青睐,它早先关闭了RSS阅读器Google Reader,目前它还维护着提供RSS烧录服务的FeedBurner. 文章转载自 开源中国社区[http