四款文件上传绕过工具

字数 395，阅读大约需 2 分钟

Upload_Auto_Fuzz

项目地址：https://github.com/T3nk0/Upload_Auto_Fuzz

Burpsuite插件，专为文件上传漏洞检测设计，提供自动化Fuzz测试，共500+条payload。
在intruder模块下使用。

使用
参考之前的文章：Upload_Auto_Fuzz

UploadRanger

项目地址：https://github.com/Gentle-bae/UploadRanger

一款专业的文件上传漏洞检测工具，支持多种绕过技术检测和自动化扫描。

打开后页面

功能特性

• • 智能扫描：自动检测上传点，分析响应内容
• • 代理抓包：内置 HTTP/HTTPS 代理，支持拦 截、修改、重放
• • Repeater：手动重放请求，调试绕过技术
• • Intruder：自动化爆破，支持多种攻击模式
• • 263+ 绕过技术：支持各种文件类型绕过、Content-Type 绕过、WAF 绕过等
• • Payload生成器：支持WebShell、Polyglot等多种载荷生成

Upload_Super_Fuzz_Gui

项目地址：https://github.com/7797777977/Upload_Super_Fuzz_Gui

页面

1：多样化Payload生成 文件后缀绕过 Content-Disposition字段绕过、Uploading 2.png…

Content-Type变形 WAF绕过技术 魔术字节伪造 特殊字符和编码技巧 文件内容欺骗 配置文件上传绕过

2：灵活的代理支持 可自定义代理服务器 支持启用/禁用代理 方便进行匿名测试和网络环境模拟

3：直观的用户界面

简洁现代的设计 实时测试进度显示 可排序的测试结果表格 详细的Payload和响应信息

4：多种文件类型测试

覆盖PHP、ASP、ASPX、JSP等常见服务器端脚本 模拟各种文件上传场景

upload-fuzz-dic-builder

项目地址：https://github.com/c0ny1/upload-fuzz-dic-builder

生成结果参考：