公司内网 OA 打卡,要获取一个验证码,请问如何破解?

2018-05-29 12:03:01 +08:00
 richChou

限制

打卡

请求方法
请求头
请求参数

验证码

请求方法
请求头
请求参数

示例

打卡
curl "http://oa.xxxxx.com/index.php?m=^&c=clock^&a=sign" -H "Connection: keep-alive" -H "Cache-Control: max-age=0" -H "Origin: http://oa.xxxxx.com" -H "Upgrade-Insecure-Requests: 1" -H "Content-Type: application/x-www-form-urlencoded" -H "User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 11_0 like Mac OS X) AppleWebKit/604.1.38 (KHTML, like Gecko) Version/11.0 Mobile/15A372 Safari/604.1" -H "Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8" -H "Referer: http://oa.xxxxx.com/index.php?m=^&c=clock^&a=sign" -H "Accept-Encoding: gzip, deflate" -H "Accept-Language: zh-CN,zh;q=0.9" -H "Cookie: PHPSESSID=bp42ebid4vcn7l99un4dfaqb93; Hm_lvt_ba7c84ce230944c13900faeba642b2b4=1527246841,1527293074,1527470120,1527565561; current_node=null; top_menu=null; Hm_lvt_2a935166b0c9b73fef3c8bae58b95fe4=1526912592,1527246849,1527470120,1527565563; Hm_lpvt_2a935166b0c9b73fef3c8bae58b95fe4=1527565563; oa_sign_info=think^%^3A^%^7B^%^22user_id^%^22^%^3A^%^22748^%^22^%^2C^%^22day^%^22^%^3A^%^2220180529^%^22^%^7D; Hm_lpvt_ba7c84ce230944c13900faeba642b2b4=1527565858" --data "mobile_tel=18501735107^&password=152830^&verify=0" --compressed
获取验证码
curl "http://oa.xxxxx.com/index.php?m=^&c=clock^&a=verify^&10.48088215596345063" -H "Accept-Encoding: gzip, deflate" -H "Accept-Language: zh-CN,zh;q=0.9" -H "User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 11_0 like Mac OS X) AppleWebKit/604.1.38 (KHTML, like Gecko) Version/11.0 Mobile/15A372 Safari/604.1" -H "Accept: image/webp,image/apng,image/*,*/*;q=0.8" -H "Referer: http://oa.xxxxx.com/index.php?m=^&c=clock^&a=sign" -H "Cookie: PHPSESSID=bp42ebid4vcn7l99un4dfaqb93; Hm_lvt_ba7c84ce230944c13900faeba642b2b4=1527246841,1527293074,1527470120,1527565561; current_node=null; top_menu=null; Hm_lvt_2a935166b0c9b73fef3c8bae58b95fe4=1526912592,1527246849,1527470120,1527565563; Hm_lpvt_2a935166b0c9b73fef3c8bae58b95fe4=1527565563; oa_sign_info=think^%^3A^%^7B^%^22user_id^%^22^%^3A^%^22748^%^22^%^2C^%^22day^%^22^%^3A^%^2220180529^%^22^%^7D; Hm_lpvt_ba7c84ce230944c13900faeba642b2b4=1527566302" -H "Connection: keep-alive" --compressed
5005 次点击
所在节点    信息安全
33 条回复
turi
2018-05-29 16:27:30 +08:00
1.远程方式:电脑不关机,手机 teamview 连接上去,打开网址,打卡。
2.编程:按照你的方式,开源的 Tesseract 好像识别率还行,不知道能不能识别你的验证码
luoway
2018-05-29 16:48:11 +08:00
@sbbeta 所以解决方案应该是远程打卡,而不是自动打卡
Tokin
2018-05-29 17:02:08 +08:00
内网穿透试一下呢。。。问题是去哪找个不关机的设备。。。
richChou
2018-05-29 17:31:44 +08:00
@lusheldon 技术来破坏规则确实不道德,但是我们不都在努力凌驾在规则至上么?
lusheldon
2018-05-29 17:37:54 +08:00
@zhoujunjie221 这种并不是凌驾规则之上,而是欺骗规则,我想说的是你承担着很大的风险在做一件收益其实并没有那么大的事情。纯粹讨论技术方案的话,可以任务计划加 selenium,配合 opencv 识别验证码。
richChou
2018-05-29 17:39:41 +08:00
@df4VW
@ho121
@bfdh
@timwei
@shoaly
@woscaizi
@7654
@SourceMan
@Felldeadbird
@lusheldon
@sbbeta
@xiejc
@turi
@luoway
@Tokin

感谢大家的分享,想了下,真的还是找台设备可以远程登录方便。有朋友说破坏规则不太好,其实我也有顾虑,不过事实就是这样,破坏规则获利,确实让人开心,在不伤害别人的基础上,推荐大家遇到事情都要这么做。做 IT 互联网的,还是太保守了,大家学学资本家,多赚钱让家人过上好日子才是最重要的。别有心理包袱。
再次感谢大家。
richChou
2018-05-29 17:44:04 +08:00
@lusheldon 明白你的意思。只是突然上升了一下,让我心情有点沉重了。仍然感谢。
xinyidao
2018-05-29 18:22:56 +08:00
赚钱也要有底线
A3m0n
2018-05-29 18:49:10 +08:00
不知道有没有人发现,主题的头像为什么和题主在下面回复的头像不符?
A3m0n
2018-05-29 18:51:03 +08:00
richChou
2018-05-30 06:13:28 +08:00
@A3m0n 那个参数应该是不同头像的尺寸。V 的头像同步,不一定一次把几个尺寸都同步过来
annt123
2018-06-01 16:23:37 +08:00
1.验证码绕过(下次打卡的时候看看加验证码和不加验证码返回的结果有何不同,然后将加验证码的结果替换到不加验证码的结果试试是否绕过)
2.万能验证码尝试(试试有没有代码里有没有设置初始验证码啥的)
3.验证码识别(冗余度比较低的可以直接建模识别)
terrywater
2018-06-19 12:35:46 +08:00
电脑弄个 vpn,家里电脑远程连接内网,就 可以了吧

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/458606

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX