By

Contents
  1. 1. 前言
  2. 2. 正文
    1. 2.1. Ayrain

前言

见过很多次了,又来一个

正文

条件竞争漏洞是一种服务器端的漏洞,由于服务器端在处理不同用户的请求时是并发进行的,因此,如果并发处理不当或相关操作逻辑顺序设计的不合理时,将会导致此类问题的发生。

Ayrain

uzQPeS.png

尝试输入之后,返回一个文件路径

uzQuLT.png

尝试访问之后,显示you are too slow

uzQlo4.png

很明显这就是要求你快速的访问那个返回的文件路径,引起条件竞争

使用burpsuite很方便

一、抓第一个包

首先抓到第一个包,然后send to Intruder,clear掉变量符号

uz1xzR.png

然后设置payloads,设置null payload和连续发包

uz3EJH.png

点击start attack开始发包

uz3tln.png

二、抓取第二个包

访问返回的路径,抓包->send to Intruder

uz3clR.png

设置如下

uz3qXt.png

start attack开始发包

uz8TET.png

查看响应包,拿到flag

相关文章

Contents
  1. 1. 前言
  2. 2. 正文
    1. 2.1. Ayrain