记一次Burp与NEW_xp_CAPTCHA工具联动爆破验证码

首先下载NEW_xp_CAPTCHA工具
地址：https://github.com/smxiazi

我下载的是大佬直接发布的打包好的环境，包括对应python3.6.6与NEW_xp_CAPTCHA工具脚本

下载完后直接点击运行即可

本地访问http://127.0.0.1:8899/，看到这个页面，证明没问题

然后就是burp导入插件jar。这里要下载xp_CAPTCHA V4.2里面就有

我导入的是jdk.8版本，能够正常使用，burp-Extensions-Add

选择jdk8版本的NEW_xp_CAPTCHA jar插件

安装正常后就是如下提示。

安装完成后就会有xia pao 的插件显示

使用前要先获取验证码的地址。

将地址写入插件的验证码编号区域

现在抓包修改验证码的内容，让他为@xiapao@1@，被xp插件识别

注意，要设置burp线程为1，如果线程过快会产生识别不了验证码的问题。

然后就可以正常爆破

http://127.0.0.1:8899/，正常识别验证码

插件内部也可以看到

感谢诸位观看