Break the Recaptcha - Nightmare

• קטגוריה: Web Application
• 1200 נקודות
• נפתר על ידי קבוצת JCTF

תיאור

פתרון

האתגר הזה היה כמעט זהה לאתגר המקורי, אלא שהפעם האתר מימש הגנת Brute-Froce על ידי חסימת ה-IP במידה ונעשו מספר ניסיונות שגויים: Your IP Address has been locked for one hour!

על מנת לעקוף זאת, ביצענו את ה-Brute Force על ידי שימוש ברשימת פרוקסים:

proxy_list = list(set(open('ProxyList.txt', 'rb').readlines()))
proxies = {'http': random.choice(proxy_list)} 
try:
    s.get('http://recaptcha2.challenges.bsidestlv.com/', headers=headers, proxies=proxies, timeout=4)
    ...
except Exception:
    retry_logic_here

כלומר, האתר ראה את הבקשות מגיעות מ-IP שונה בכל פעם ולכן לא חסם את הגישה.

עובדת בונוס: חולשה דומה שהתפרסמה אחרי סגירת האתגר אפשרה לאפס את הסיסמא של כל חשבון אינסטגרם.