目录导航
注意事项
若使用了图片,发送到Intruder后直接开始暴破会出现仅有一条请求包,因为有乱码字符串/中文的存在。
解决办法:修改POST内容为简单的字符串,例如123或phpinfo。
功能概述
本Burp Suite插件专为文件上传漏洞检测设计,提供自动化Fuzz测试,共300+条payload。效果如图
主要包含以下攻击向量:
🛡️ WAF绕过技术
- 后缀变异:ASP/ASPX/PHP/JSP后缀混淆(空字节、双扩展名、特殊字符等)
- 内容编码:MIME编码、Base64编码、RFC 2047规范绕过
- 协议攻击:HTTP头拆分、分块传输编码、协议走私
🖥️ 系统特性利用
- Windows特性:
- NTFS数据流(::$DATA)
- 保留设备名(CON, AUX)
- 长文件名截断
- Linux特性:
- Apache多级扩展解析
- 路径遍历尝试
- 点号截断攻击
🎭 内容欺骗
- 魔术字节注入(GIF/PNG/PDF头)
- SVG+XSS组合攻击
- 文件内容混淆(注释插入、编码变异)
安装方法
- 确保已安装Burp Suite Professional
- 在Burp Extender中点击”Add”
- 选择下载的
Upload_Auto_Fuzz.py文件 - 点击”Next”直到安装完成
使用指南
- 拦截文件上传请求
- 右键请求内容 → “Send to Intruder”
- Positions内将Content-Disposition开始,到文件内容结束的数据作为fuzz对象,如图
4.在Intruder的”Payloads”标签中选择:
Payload type: Extension-generated Select generator: upload_auto_fuzz
5.取消Payload encoding选择框,如图
6.开始攻击并分析响应
Payload分类说明
| 类别 | 样本payload | 检测目标 |
|---|---|---|
| 后缀绕过 | filename="test.asp;.jpg" | 文件类型校验缺陷 |
| Content-Disposition | content-Disposition: form-data | 头解析大小写敏感性 |
| 魔术字节 | GIF89a;<?php... | 内容检测绕过 |
| 协议走私 | Transfer-Encoding: chunked | WAF协议解析差异 |
作者信息
- 开发者: T3nk0
免责声明
本工具仅限授权测试使用,禁止用于非法用途。使用者需遵守当地法律法规,开发者不承担任何滥用责任。
项目地址
GitHub:
https://github.com/T3nk0/Upload_Auto_Fuzz
下载地址
https://github.com/T3nk0/Upload_Auto_Fuzz/archive/refs/heads/main.zip
转载请注明出处及链接