文件上传fuzz工具-Upload_Auto_Fuzz

一、工具介绍

​ 在日常遇到文件上传时,如果一个个去测,会消耗很多时间,如果利用工具去跑的话就会节省很多时间,本Burp Suite插件专为文件上传漏洞检测设计,提供自动化Fuzz测试,共300+条payload。

源地址:

php 复制代码
https://github.com/T3nk0/Upload_Auto_Fuzz

二、功能特点

waf绕过功能

  • 后缀变异:ASP/ASPX/PHP/JSP后缀混淆(空字节、双扩展名、特殊字符等)
  • 内容编码:MIME编码、Base64编码、RFC 2047规范绕过
  • 协议攻击:HTTP头拆分、分块传输编码、协议走私

系统特性

windwos特性

  • NTFS数据流(::$DATA)

  • 保留设备名(CON, AUX)

  • 长文件名截断

linux特性

  • Apache多级扩展解析
  • 路径遍历尝试
  • 点号截断攻击

内容欺骗

  • 魔术字节注入(GIF/PNG/PDF头)
  • SVG+XSS组合攻击
  • 文件内容混淆(注释插入、编码变异)

三、使用指南及效果

这里以uploads-labs为例,选择一个文件上传

然后burp开启拦截,抓包

右键选择

将这两个地方添加变量

点击payload选择此处

点击选择生成器,选择此处即可

取消勾选,默认是勾选的,如下

随后即可攻击,然后查看相应结果即可

四、安装教程

首先下载安装包,然后解压

打开burp ,进入扩展设置点击添加

选择python 然后选择下载的py文件即可

如下即成功导入

相关推荐
独行soc1 天前
2025年渗透测试面试题总结-215(题目+回答)
网络·安全·web安全·adb·渗透测试·1024程序员节·安全狮
Bruce_Liuxiaowei1 天前
[特殊字符] C&C服务器:网络攻击的指挥中心
运维·服务器·网络安全
-曾牛2 天前
深入浅出 SQL 注入
网络·sql·安全·网络安全·渗透测试·sql注入·盲注
汤愈韬2 天前
IIS服务器
windows·网络安全
-曾牛2 天前
从零到一:XSS靶场 haozi.me 全关卡通关教程(含冷知识汇总)
前端·网络安全·渗透测试·靶场·xss·攻略·靶场教程
挨踢攻城2 天前
网络安全 | 如何防御勒索软件?
安全·web安全·网络安全·php·厦门微思网络·防疫勒索软件
belldeep2 天前
网络安全:Apache Druid 安全漏洞
网络安全·apache·druid
Whoami!2 天前
6-1〔O҉S҉C҉P҉ ◈ 研记〕❘ 客户端攻击▸侦查客户端指纹
网络安全·信息安全·客户端侦查
Whoami!2 天前
6-2〔O҉S҉C҉P҉ ◈ 研记〕❘ 客户端攻击▸利用WORD宏让客户端执行命令
网络安全·信息安全·oscp·宏文件攻击
Whoami!2 天前
⸢ 玖 ⸥⤳ 威胁感知与响应体系概念及建设思路
网络安全·信息安全·态势感知·威胁响应