对SRC并发漏洞挖掘的思考
2023-9-18 09:52:10 Author: 黑白之道(查看原文) 阅读量:23 收藏

Turbo Intruder是一个用于发送大量HTTP请求并会分析其结果的Burp Suite扩展。它旨在补充Burp Intruder以处理需要特殊速度持续时间或复杂性的攻击。主要用户挖掘并发安全的漏洞

进入bp插件商店下载Turbo插件:

安装成功!

使用BP进行抓包,右键发送到Turbo中:

这将打开一个包含你请求的窗口和一个Python代码段如下所示:我们可以在上方添加%s为我们要进行fuzz的内容(如果没有参数需求,%s可以加在任意位置)

选择race脚本,这里执行30次并发:

成功,下方可以看RPS:


进入某网站,这里有个点赞按钮:

BP抓点赞数据包,发送到turbo:

添加%s,之后进行并发攻击:

攻击完成之后,刷新页面,点赞变成了9个


某系统,发送验证码功能:

点击获取验证码抓包,找到这个发送验证码的数据包,利用并发,同一时间多次对服务器发该数据包,从让服务器发送给手机多个验证码,造成短信轰炸


代金劵可进行拆分使用。第一次购买服务价格为10元,使用上该代金卷那么该订单支付时就会为0元,那么50元的代金卷-10元就剩下40元,该逻辑存在一个漏洞点出在拆分支付时

我们先使用该50元的代金卷进行3次10.80元的订单支付,此时代金卷剩下17.6元

我们在创建第四次10.80订单时我们可以使用Turbo intruder进行一次并发,并发完成会看见两个0元订单

即可实现花50购买53.8的资源


获取数据包后进行re模块重发,看看是否有防护,如果没有防护,直接并发测试完成轰炸即可:

经过测试后,发现此处可以通过url编码来突破

比如我的号码是 17699999999
我把 17 url 编码为%31%37699999999 就可以发送短信到我的手机号上面来

按照这个思路我把 176 编码也是可以的、把 1769编码也是可以的、把电话号第一位和电话 号第三位 url 编码也是可以的。就可以无限制发送短信到我的手机号上,当然也可以轰炸别人

常见绕过思路:

  • 手机号码前后加空格,86,086,0086,+86,0,00,/r,/n, 以及特殊符号等

  • 修改cookie,变量,返回

  • 138888888889 12位经过短信网关取前11位,导致短信轰炸

  • 进行能解析的编码


如果要提升并发漏洞的危害,那我们必须和金钱的地方挂钩或者要让厂商感觉可以利用这一点来达到薅羊毛的效果,此时我们的并发漏洞就可以获取的高额赏金💴

并发测试主要测试场景:签到、每天领积分,点赞,评论点赞处等,测试是否并发发送请求服务器可多次响应

原文于:https://blog.csdn.net/Gherbirthday0916/article/details/130639360原文作者:世界尽头与你

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!

如侵权请私聊我们删文

END

多一个点在看多一条小鱼干


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650577980&idx=4&sn=55c8ec5f3dd824c81e97c4c41f58b4d5&chksm=83bdf9d8b4ca70ce68b53313a96a1af7fa927b999782b59cd47a6863a24f52875560fc3b14f9&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh