Burp Suite插件专为文件上传漏洞检测设计，提供自动化Fuzz测试，共300+条payload。

工具介绍

本Burp Suite插件专为文件上传漏洞检测设计，提供自动化Fuzz测试，共300+条payload。效果如图

主要功能

🛡️ WAF绕过技术

• 后缀变异：ASP/ASPX/PHP/JSP后缀混淆（空字节、双扩展名、特殊字符等）
• 内容编码：MIME编码、Base64编码、RFC 2047规范绕过
• 协议攻击：HTTP头拆分、分块传输编码、协议走私

🖥️ 系统特性利用

• Windows特性：
• NTFS数据流（::$DATA）
• 保留设备名（CON, AUX）
• 长文件名截断
• Linux特性：
• Apache多级扩展解析
• 路径遍历尝试
• 点号截断攻击

🎭 内容欺骗

• 魔术字节注入（GIF/PNG/PDF头）
• SVG+XSS组合攻击
• 文件内容混淆（注释插入、编码变异）

使用指南

1. 拦截文件上传请求

2. 右键请求内容 → "Send to Intruder"

3. Positions内将Content-Disposition开始，到文件内容结束的数据作为fuzz对象，如图

1. 在Intruder的"Payloads"标签中选择：

  Payload type: Extension-generated  Select generator: upload_auto_fuzz

1. 取消Payload encoding选择框，如图

1. 开始攻击并分析响应

Payload分类说明

工具获取