whw1sfb
偶尔能打开dig.pm的首页,但是点击`Get Sub Domain`没有收到回应
dig.pm使用了cloudflare提供的JS挑战认证,没法直接请求获取DNSLog结果,短期看来是暂时不可用了,建议切换到其他DNSLog服务。
考虑在后续版本加入
在0.12版本,开启`Fuzz`->`Enable Ex-request`选项后,将不会长时间等待其回应,该问题应该有所改善。
该问题已经解决,请使用最新的代码编译
POC目前是以插件的形式存在与本插件中的,如果手工提供poc,插件将无法确定这是属于哪个Dnslog平台,也就无法扫描闭环,所以就没有意义了。 如果可以的话麻烦提供下bypass的语句,我添加进本插件中,这样可以直接选中你提供的bypass POC就可以了。
👍感谢,该poc已加入,测试可用,你可以pull最新的源码本地编译使用,或等待下个版本发布后使用。
> 还有一个问题,插件新增的延迟检测功能我不太清楚具体的思路和延迟等待时间是多久,而且我感觉这个功能有点问题,可以不用添加这个功能,因为这个功能不适合插件我感觉,像这种延迟比较高的 手动等待就行了,,目前我遇到的延迟dnslog不会延迟很久正常就行,,遇到的延迟只有是反弹shell个别站点会延迟几分钟弹回来,,我现在使用的还是老版本感觉很好用,新版本我感觉有问题就没有一直使用。 这个其实是在原有逻辑上加了一层逻辑而已,就是在首次查询dnslog记录的时候没有查询到,那就将这条记录存到一个map里,然后后面的5分钟内每30s再次查询判断是否触发,所以只是在原逻辑上加了一层保险,而并没有修改原始的逻辑,总体来讲肯定是比早期版本的效果更好一些的
> 使用过程中还发现一个问题,就是我每天扫描的url比较多 ,每次扫到漏洞之后 必须等待burp全部流量扫描完成之后才能给出结果,插件虽然给出了漏洞的链接,但是没有给出具体的注入点,,,必须等待burp扫描完成才能看到准确的post包和注入点,,能不能在插件ui里面增加一个扫到结果直接给出具体注入点和post包的功能,不用等待burp流量全部走完。这样会大大节省作业时间。 这个不应该啊,每条链接都是一个单独的扫描任务,如果插件日志输出了漏洞信息burp的issue界面也会同步展示漏洞的,理论上不会出现等所有流量走完才出现问题详情的。
> get backend result failed! 这个意思是插件报错了 还是没有获取到返回的dnslog平台记录 是正常返回 还是插件报错返回 这个是获取dnslog平台记录失败,一两次失败也没事,会重试的