文章总结： 文档介绍了基于Yakit和ddddocr的图片验证码识别技术。详细阐述了环境准备、脚本运行及热加载配置步骤，通过替换参数实现自动化爆破。结论指出离线识别成功率有限，建议使用商业打码平台以提升成功率。 综合评分： 78 文章分类： 渗透测试,安全工具,WEB安全

Yakit技巧-识别图片验证码

StudySec

2026年1月7日 10:29 江苏

以下文章来源于安全树勤 ，作者sageee

安全树勤 .

全网最慢的网络安全博主，主要分享自己的学习文档，学习过程，希望共同进步

点击上方蓝字关注我们

免责声明

文中提及的内容仅作为学习使用。若读者将相关信息或工具用于非授权测试、数据获取等其他用途，由此产生的一切法律纠纷及连带责任，均由使用者自行承担，作者不为此承担任何责任。请务必严格遵守相关法律法规，合理使用文中内容。

下载ddddocr 和 numpy模块，注意两个包版本不能冲突否则会报错，可以像我这样都为 1.x

pip3 install ddddocr numpy

下载 codereg.py 是验证码识别的插件

https://github.com/f0ng/captcha-killer-modified/releases

准备工作完成

运行 codereg.py 脚本

找到获取验证码的包，一般都是点击验证码让验证码刷新，抓包，那个包就是

下载 yakit验证码 OCR 识别 插件，利用 yakit 的热加载实现，其他插件大家也也可以尝试

修改imageReq 和dddocrReq 内容

imageReq：获取验证码的请求包
dddocrReq：OCR 服务
其中codereg.py 是有很多接口供你使用的，选择最合适你目前的接口
app.add_routes([
    web.post('/reg2', handle_cb),  # 识别算数验证码
    web.post('/reg', handle_cb2),  # 识别常规验证码

    web.post('/reg00', handle_cb00),  # 识别纯整数0-9
    web.post('/reg01', handle_cb01),  # 识别纯小写英文a-z
    web.post('/reg02', handle_cb02),  # 识别纯大写英文A-Z
    web.post('/reg03', handle_cb03),  # 识别小写英文a-z + 大写英文A-Z
    web.post('/reg04', handle_cb04),  # 识别小写英文a-z + 整数0-9
    web.post('/reg05', handle_cb05),  # 识别大写英文A-Z + 整数0-9
    web.post('/reg06', handle_cb06),  # 识别小写英文a-z + 大写英文A-Z + 整数0-9
    web.post('/reg000', handle_cb000),  # 识别自定义
])

在需要爆破的包中点击热加载

复制刚才修改完成的识别代码，点击确认

修改验证码处为__captcha__，之后进行爆破，发现可以成功识别

但是离线成功率不高，有条件的可以商业的打码平台，成功率会更高

后台私信“yakit0724”获取本文章工具高速下载链接！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：StudySec 《Yakit技巧-识别图片验证码》