REPLY: “Hack” hệ thống captcha của trường
White

Lộc Idol viết ngày 21/09/2016

Hồi chiều, mình lướt qua techtalk thấy có bài viết “Hack” hệ thống captcha của trường khá là hay. Cụ thể là giới thiệu cơ chế hoạt động của captcha :

alt text

Và hướng dẫn cách bypass captcha để có thể dùng bot lấy điểm của tất cả sinh viên, ứng dụng xem điểm, thời khoá biểu,… :clap::clap::clap:

Nhưng cách của thớt ấy là chặn request đến file sinh captcha :smile: :smile: và phải dùng captcha sinh từ trước đó. Đến cuối bài thì thớt nhận xét là :

Chả tiện lợi hơn đuợc bao nhiêu, còn phải mò mẫm đủ thứ mới có thể chặn đuợc url captcha mà vẫn truy cập đuợc vào link xem thời khoá biểu (vì nó cùng domain mà ) Nói chung là mệt hơn, tự gõ captcha còn nhanh hơn. :sweat_smile: :sweat_smile: :sweat_smile:

Mình cũng vào link lấy thời khoá biểu của hcmut xem thế nào.

Sơ qua thì trang này được viết bằng php và rất có thể là dùng hàm strcmp để so sánh captcha ở server và từ client gửi lên. Tuy nhiên, hàm này trả về 0 khi xảy ra lỗi và ta có thể dùng nó để bypass captcha. :smiley: :smiley: :smiley:

Test: do mình không học ở hcmut nên đã phải google ra một cái mã sinh viên để thử :sweat_smile: và ta chỉ cần đưa biến captcha_code thành dạng mảng, khi đó ở server result = strcmp(string,array) luôn = 0 :smile:.

Bingo
alt text

Vậy là chính xác là các DEV của chúng ta đã dùng hàm strcmp để kiểm tra captcha và mọi người có thể dễ dàng bypass nó để có thể dùng bot lấy điểm của tất cả sinh viên, ứng dụng xem điểm, thời khoá biểu,…

Đây là bài viết đầu tiên của mình nên có gì sai sót mong mọi người góp ý nhiệt tình.

Bình luận


White
{{ comment.user.name }}
Bỏ hay Hay
{{comment.like_count}}
Male avatar
{{ comment_error }}
Hủy
   

Hiển thị thử

Chỉnh sửa

White

Lộc Idol

1 bài viết.
0 người follow
Kipalog
{{userFollowed ? 'Following' : 'Follow'}}
{{like_count}}

kipalog

{{ comment_count }}

bình luận

{{liked ? "Đã kipalog" : "Kipalog"}}


White
{{userFollowed ? 'Following' : 'Follow'}}
1 bài viết.
0 người follow

 Đầu mục bài viết

Vẫn còn nữa! x

Kipalog vẫn còn rất nhiều bài viết hay và chủ đề thú vị chờ bạn khám phá!