文件上传fuzz工具-Upload_Auto_Fuzz

一、工具介绍

​ 在日常遇到文件上传时,如果一个个去测,会消耗很多时间,如果利用工具去跑的话就会节省很多时间,本Burp Suite插件专为文件上传漏洞检测设计,提供自动化Fuzz测试,共300+条payload。

源地址:

php 复制代码
https://github.com/T3nk0/Upload_Auto_Fuzz

二、功能特点

waf绕过功能

  • 后缀变异:ASP/ASPX/PHP/JSP后缀混淆(空字节、双扩展名、特殊字符等)
  • 内容编码:MIME编码、Base64编码、RFC 2047规范绕过
  • 协议攻击:HTTP头拆分、分块传输编码、协议走私

系统特性

windwos特性

  • NTFS数据流(::$DATA)

  • 保留设备名(CON, AUX)

  • 长文件名截断

linux特性

  • Apache多级扩展解析
  • 路径遍历尝试
  • 点号截断攻击

内容欺骗

  • 魔术字节注入(GIF/PNG/PDF头)
  • SVG+XSS组合攻击
  • 文件内容混淆(注释插入、编码变异)

三、使用指南及效果

这里以uploads-labs为例,选择一个文件上传

然后burp开启拦截,抓包

右键选择

将这两个地方添加变量

点击payload选择此处

点击选择生成器,选择此处即可

取消勾选,默认是勾选的,如下

随后即可攻击,然后查看相应结果即可

四、安装教程

首先下载安装包,然后解压

打开burp ,进入扩展设置点击添加

选择python 然后选择下载的py文件即可

如下即成功导入

相关推荐
H轨迹H2 小时前
Vulnhub-venom
网络安全·渗透测试·vulnhub·ctf·信息收集·web漏洞·oscp
予安灵3 小时前
《黑客攻防从入门到精通:工具篇》全15章万字深度总结——从工具解析到实战攻防,构建完整网络安全知识体系
安全·web安全·网络安全·系统安全·网络攻击模型·安全架构·黑客工具链
Suckerbin3 小时前
BSides Vancouver: 2018 (Workshop)
学习·安全·网络安全
白帽少女安琪拉4 小时前
21.dirsearch:Web 路径扫描工具
网络·网络安全
栀寒老醑16 小时前
密码学笔记
笔记·python·网络安全·密码学·ctf·crypto
火绒终端安全管理系统17 小时前
火绒终端安全管理系统V2.0--分层防御之行为拦截层
网络·安全·web安全·网络安全·火绒安全
cllsse20 小时前
docker逃逸-cve-2019-5736
网络安全·docker
A5rZ21 小时前
ctf-web:php反序列化逃逸 -- GHCTF Escape!
网络安全·php