探索网络安全的未知领域:psychoPATH - 一个盲目的Web根文件上传与LFI检测工具
在信息安全的世界中,发现和预防漏洞是至关重要的任务。现在,让我们一同走进 psycoPATH —— 这个由Julian H. 创建的开源工具,它是一个高度可配置的payload生成器,专用于检测本地文件包含(LFI)和Web根目录文件上传漏洞。如今,它已被纳入Burp Suite应用商店,为你的安全测试提供强大支持。
项目简介
psychoPATH 是一个强大的工具,它采用先进的路径遍历规避技术和动态Web根列表生成策略,结合输出编码和站点地图搜索功能,帮助你追踪那些传统扫描器可能遗漏的脆弱点。它的功能包括对上传目录位于文档根目录内或外的情况进行路径遍历检查,以及针对未直接暴露上传文件链接的应用进行文件上传检测。
技术分析
该工具有四种payload生成器,增强了Burp Intruder的功能,包括:
- 动态路径遍历:针对弱过滤器下路径遍历和LFI漏洞的高级检测。
- 目录检查器:用于选择性侵入式内容发现和验证HTTP方法允许范围。
- 字节生成器:产生单个字节范围的payload,适用于通用模糊测试、发现无效字符、击败过滤器等。
应用场景
- 当你需要在没有详细错误信息和无法访问文件系统的情况下,检测是否能将合法文件上传到Web根目录时。
- 针对上传目录位于Web根目录内外的路径遍历漏洞进行扫描。
- 检测那些不在链接中明确显示但实际位于Web根目录内的隐藏文件上传位置。
项目特点
- 高灵活性:高度可配置的选项让你定制适合特定场景的payload。
- 智能webroot检测:基于已知服务器特定Webroot路径、目标域名和用户自定义变量生成潜在有效路径。
- 全面覆盖:无论是寻找LFI还是路径遍历漏洞,psychoPATH都能有效地探测多种情况。
- 跨平台支持:针对nix和Windows系统的支持,确保了广泛的应用可能性。
- 简洁易用的界面:直观的UI设计让操作变得简单。
此外,通过阅读usage_examples.pdf,你可以详细了解所有payload生成器的使用示例和各种场景。
在网络安全的黑暗中,psychoPATH是你照亮隐患的利器。立即尝试并提升你的安全测试效率吧!