声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。 |
现在只对常读和星标的公众号才展示大图推送,建议大家把”Hack分享吧“设为星标,否则可能看不到了!
工具介绍
Upload_Auto_Fuzz是@T3nk0师傅专为文件上传漏洞检测而写的一个Burp Suite插件,提供自动化Fuzz测试,共500+条payload,效果如图。
支持功能
后缀变异:ASP/ASPX/PHP/JSP后缀混淆(空字节、双扩展名、特殊字符等)内容编码:MIME编码、Base64编码、RFC 2047规范绕过协议攻击:HTTP头拆分、分块传输编码、协议走私字符变异:引号混淆、特殊字符插入、换行截断技术数据溢出:超长文件名、边界溢出测试、重复参数定义
系统特性利用
Windows特性:NTFS数据流(::$DATA)保留设备名(CON, AUX)长文件名截断Linux特性:Apache多级扩展解析路径遍历尝试点号截断攻击
内容欺骗
魔术字节注入(GIF/PNG/PDF头)SVG+XSS组合攻击文件内容混淆(注释插入、编码变异).user.ini和.htaccess利用
对象存储绕过:S3/Azure元数据标头注入容器化环境:Docker/Kubernetes路径遍历技术Serverless绕过:云函数临时存储利用容器逃逸:特权路径访问尝试
AI模型对抗:对抗性噪声技术语义扰动文件名GAN混合文件标记沙箱检测绕过:环境指纹识别CPU/内存检测逃逸延时触发机制(3600-7200s)行为分析逃逸:多层编码与加密技术
安装使用
确保已安装Burp Suite Professional在Burp Extender中点击"Add"选择下载的Upload_Auto_Fuzz.py文件点击"Next"直到安装完成
1. 拦截文件上传请求
2. 右键请求内容 → "Send to Intruder"
3. Positions内将Content-Disposition开始,到文件内容结束的数据作为fuzz对象,如图
4. 在Intruder的"Payloads"标签中选择:
Payload type: Extension-generatedSelect generator: upload_auto_fuzz
5. 取消Payload encoding选择框,如图
6. 开始攻击并分析响应
Payload分类说明
下载地址
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...