Fuxploider – 文件上传漏洞扫描器和利用工具
本地文件上传漏洞是 Web 应用程序允许攻击者直接上传恶意文件然后执行的漏洞。测试人员可以通过单独上传所有类型的具有不同扩展名的文件来测试这个缺陷,但手动方法需要更多时间。因此,可以使用自动化工具来加快流程。 Fuxploider 工具是一种自动化工具,可自动测试和检测文件上传漏洞。 Fuxploider 工具是用Python语言开发的,可在 GitHub 平台上使用。由于 Fuxploider 工具可在 GitHub 平台上使用,因此它是免费且开源的。 Fuxploider 工具能够检测允许上传的文件类型,并且可以检测哪种技术最适合在目标 Web 服务器上上传 Web shell 或任何有效负载文件。
注意:确保您的系统上安装了Python ,因为这是一个基于 Python 的工具。点击查看安装过程:Linux上的Python安装步骤
在 Kali Linux OS 上安装 Fuxploider 工具
第 1 步:使用以下命令在您的 Kali Linux 操作系统中安装该工具。
git clone https://github.com/almandin/fuxploider.git
第 2 步:现在使用以下命令移动到该工具的目录。您必须在目录中移动才能运行该工具。
cd fuxploider
第 3 步:您在 Fuxploider 的目录中。现在您必须使用以下命令安装 Fuxploider 的依赖项。
sudo pip3 install -r requirements.txt
第 4 步:所有依赖项都已安装在您的 Kali Linux 操作系统中。现在使用以下命令运行该工具并检查帮助部分。
python3 fuxploider.py -h
在 Kali Linux 操作系统上使用 Fuxploider 工具
示例/用法:基本示例
python3 fuxploider.py –url https://ac851f8d1ebe5c4e80f5688f007500c6.web-security-academy.net/post?postId=4 –not-regex “Avatar file must be an image.”
在此示例中,我们正在测试目标域的文件上传漏洞。
在下面的屏幕截图中,该工具正在尝试测试在目标域上上传文件时有效的扩展名。
在下面的屏幕截图中,工具将上传所有类型的文件并检查响应代码和消息。