Burp Suite插件专为文件上传漏洞检测设计，提供自动化Fuzz测试，共300+条payload

0x01 工具介绍

🛡️ WAF绕过技术

• 后缀变异：ASP/ASPX/PHP/JSP后缀混淆（空字节、双扩展名、特殊字符等）
• 内容编码：MIME编码、Base64编码、RFC 2047规范绕过
• 协议攻击：HTTP头拆分、分块传输编码、协议走私

🖥️ 系统特性利用

• Windows特性：
• NTFS数据流（::$DATA）
• 保留设备名（CON, AUX）
• 长文件名截断
• Linux特性：
• Apache多级扩展解析
• 路径遍历尝试
• 点号截断攻击

🎭 内容欺骗

• 魔术字节注入（GIF/PNG/PDF头）
• SVG+XSS组合攻击
• 文件内容混淆（注释插入、编码变异）

0x02 安装方法

1. 确保已安装Burp Suite Professional
2. 在Burp Extender中点击"Add"
3. 选择下载的Upload_Auto_Fuzz.py文件
4. 点击"Next"直到安装完成

0x03 使用指南

   1、拦截文件上传请求

   2、右键请求内容 → "Send to Intruder"

   3、Positions内将Content-Disposition开始，到文件内容结束的数据作为fuzz对象，如图

4、在Intruder的"Payloads"标签中选择：

Payload type: Extension-generated

Select generator: upload_auto_fuzz

5、取消Payload encoding选择框，如图

Payload分类说明