文件上传fuzz工具-Upload_Auto_Fuzz

一、工具介绍

​ 在日常遇到文件上传时,如果一个个去测,会消耗很多时间,如果利用工具去跑的话就会节省很多时间,本Burp Suite插件专为文件上传漏洞检测设计,提供自动化Fuzz测试,共300+条payload。

源地址:

php 复制代码
https://github.com/T3nk0/Upload_Auto_Fuzz

二、功能特点

waf绕过功能

  • 后缀变异:ASP/ASPX/PHP/JSP后缀混淆(空字节、双扩展名、特殊字符等)
  • 内容编码:MIME编码、Base64编码、RFC 2047规范绕过
  • 协议攻击:HTTP头拆分、分块传输编码、协议走私

系统特性

windwos特性

  • NTFS数据流(::$DATA)

  • 保留设备名(CON, AUX)

  • 长文件名截断

linux特性

  • Apache多级扩展解析
  • 路径遍历尝试
  • 点号截断攻击

内容欺骗

  • 魔术字节注入(GIF/PNG/PDF头)
  • SVG+XSS组合攻击
  • 文件内容混淆(注释插入、编码变异)

三、使用指南及效果

这里以uploads-labs为例,选择一个文件上传

然后burp开启拦截,抓包

右键选择

将这两个地方添加变量

点击payload选择此处

点击选择生成器,选择此处即可

取消勾选,默认是勾选的,如下

随后即可攻击,然后查看相应结果即可

四、安装教程

首先下载安装包,然后解压

打开burp ,进入扩展设置点击添加

选择python 然后选择下载的py文件即可

如下即成功导入

相关推荐
落鹜秋水10 小时前
Cacti命令执行漏洞分析(CVE-2022-46169)
web安全·网络安全
pencek11 小时前
XCTF-crypto-幂数加密
网络安全
会议之眼11 小时前
截稿倒计时 TrustCom‘25大会即将召开
网络安全
Safe network access12 小时前
2023江苏省第二届数据安全技能大赛决赛题
安全·ctf
周先森的怣忈12 小时前
渗透高级-----测试复现(第三次作业)
网络安全
MUY099012 小时前
OSPF之多区域
网络·网络安全
波吉爱睡觉21 小时前
文件解析漏洞大全
web安全·网络安全
青藤云安全1 天前
青藤天睿RASP再次发威!捕获E签宝RCE 0day漏洞
网络安全
小田冲冲冲1 天前
文件包含漏洞
渗透测试
pencek2 天前
HakcMyVM-Medusa
网络安全