前段时间写了一个异步并发的利用工具,里面有很多的bug,文章地址如下:https://www.je2se.com/archives/508
现在修复了一下bug,完善了一下脚本,还有问题,还是问题不大 ,能更好的实现功能。

Async_Exp 2.0 异步并发漏洞利用工具-JE2Se ' Blog

使用说明

本脚本主要处理异步并发,说一下场景

并发漏洞。通常我们测试短信轰炸主要是放到burp的repeater,尝试多次发送,如果成功则证明存在。有时程序会做判断,同一个手机号一分钟内只能发一次,并且每次发送时都会校验自己一分钟内有没有发送过,如果放到repeater,重放第二次就会被拦截,会提示一分钟之后才能继续发送。首先说一下我们通过repeater重放的这种叫做同步并发,虽然同一个数据包被重复发送了很多次,但是他是有序的发送,如果发完第一个包后程序对第二个包做限制的话,第二个包也就无法重放成功了,通常的开发防御方式都是这种,并发发包都是有序的。介绍下另外一种思路,就是无序发包,也就是异步并发,怎么去理解同步并发以及异步并发。同步和异步就像是赛跑,同步是接力跑,一个跑完了下一个才会接着跑。intruter模块的工作模式就是一个请求结束了,下一个请求才开始,异步就是所有人同时跑,一条短信发送前会判断上一分钟内是否发送过,没有则发送短信,有则拦截。但是如果三条短信同时发送。分别判断上一分钟是否发送,判断成功后会发送,这种同时发送请求的异步并发有的时候就会绕过当前的短信发送时隔限制。

本脚本主要就是提供了一个异步并发的一个小工具,具体的header信息,按需修改

更新说明

本次修复了一些上一班本的BUG,上一班本主要是完成了功能,但是什么都没调试,这次把一些主要的bug给修复了

工具地址:

https://github.com/JE2Se/Async_Exp

欢迎各位大佬使用~~