1. 程式人生 > 實用技巧 >檔案上傳漏洞fuzz字典生成指令碼小工具分享

檔案上傳漏洞fuzz字典生成指令碼小工具分享

前言

學習xss的時候翻閱資料發現了一個檔案上傳漏洞fuzz字典生成指令碼小工具,試了試還不錯,分享一下

配置

需要python2環境

工具地址:https://github.com/c0ny1/upload-fuzz-dic-builder

使用方法

$ python upload-fuzz-dic-builder.py -h
usage: upload-fuzz-dic-builder [-h] [-n] [-a] [-l] [-m] [--os] [-d] [-o] optional arguments:
-h, --help show this help message and exit
-n , --upload-filename
Upload file name
-a , --allow-suffix Allowable upload suffix
-l , --language Uploaded script language
-m , --middleware Middleware used in Web System
--os Target operating system type
-d, --double-suffix Is it possible to generate double suffix?
-o , --output Output file

上傳檔名(-n),允許的上傳的字尾(-a),後端語言(-l),中介軟體(-m),作業系統(–os),是否加入雙字尾(-d)以及輸出的字典檔名(-o)。我們可以根據場景來生成合適的字典,提供的資訊越詳細,指令碼生成的字典越精確。

python upload-fuzz-dic-builder.py -l php -m apache --os win

然後用burpsuite抓包,放入intreder模組,選擇上一步生成的字典,選擇列舉的位置

注意:如圖模組不用勾選

最後:start attack即可,觀察跑的結果,進行進一步利用


最後個人想法

可以自定義中介軟體,後端語言,系統,來生成fuzz,要是手工測試的會很累,精確的還行,就是跑的還是蠻多的,對伺服器還是有影響,我本地跑的,生成了很多的圖片,所以肯定沒有手工注入準確,最後,這個工具還是很不錯的,感覺可以的可以嘗試一下。