FUSE挖掘文件上传漏洞(工具介绍)

最新推荐文章于 2024-09-04 20:30:00 发布
最新推荐文章于 2024-09-04 20:30:00 发布
阅读量1w 收藏 2
点赞数 2
文章标签: 安全 web安全 扫描测试工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_58596609/article/details/121919983
版权

FUSE 简介

FUSE是一款强大的渗透测试工具,可以帮助测试人员在最短时间内找到目标软件系统中存在的文件上传漏洞

FUSE本质上是一个渗透测试系统,主要功能就是识别无限制可执行文件上传(UEFU)漏洞。关于UEFU无限制可执行文件上传漏洞的相关内容,可以参考这篇【文章】,该文章发表于NDSS2020。关于如何配置和执行FUSE,请参阅以下内容。

FUSE 安装

   FUSE 目前适用于 Ubuntu 18.04 和 Python 2.7.15。

项目地址:  【FUSE

第一步:先安装FUSE正常运行所需的依赖项

# apt-get install rabbitmq-server
# apt-get install python-pip
# apt-get install git

 第二步: 克隆并构建好FUSE

$ git clone https://github.com/WSP-LAB/FUSE
$ cd FUSE && pip install -r requirements.txt

如果您计划使用Selenium利用无头浏览器验证(Selenium需要一个驱动程序来与所选浏览器进行交互),请通过参考硒文档来安装Chrome和Firefox网络驱动程序。

工具的用法

  配置

  • FUSE 使用用户提供的配置文件,该文件指定目标 PHP 应用程序的参数。在测试目标 Web 应用程序之前,必须填写该脚本。您可以查看自述文件 和示例配置文件

  • 文件监视器的配置(可选)

 $ vim filemonitor.py

...
 10 MONITOR_PATH='/var/www/html/' <- Web root of the target application
 11 MONITOR_PORT=20174            <- Default port of File Monitor
 12 EVENT_LIST_LIMITATION=8000    <- Maxium number of elements in EVENT_LIST
...

FUSE执行

  • FUSE
$ python framework.py [Path of configuration file]
  • 文件监视器
$ python filemonitor.py
  • 结果
    • FUSE 完成渗透测试后,将创建一个 [HOST] 目录和一个 [HOST_report.txt] 文件。
    • [HOST] 文件夹存储已尝试上载的文件。
    • [HOST_report.txt] 文件包含测试结果以及与触发 U(E)FU 的文件相关的信息。

 漏洞CVE

   如果您发现 UFU 和 UEFU 错误,并通过运行 FUSE 获取 CVE,请发送 PR 以获取README.md

应用CVE
埃尔格CVE-2018-19172
ECCube3CVE-2018-18637
CMSMadeSimpleCVE-2018-19419, CVE-2018-18574
CM简单CVE-2018-19062
混凝土5CVE-2018-19146
GetSimpleCMSCVE-2018-19420, CVE-2018-19421
苏布里恩CVE-2018-19422
操作系统2CVE-2018-18572, CVE-2018-18964, CVE-2018-18965, CVE-2018-18966
蒙斯特拉CVE-2018-6383, CVE-2018-18694
氙气十六月-2019-001

 

引用论文

@INPROCEEDINGS{lee:ndss:2020,
    author = {Taekjin Lee and Seongil Wi and Suyoung Lee and Sooel Son},
    title = {{FUSE}: Finding File Upload Bugs via Penetration Testing},
    booktitle = {Proceedings of the Network and Distributed System Security Symposium},
    year = 2020
}

 参考链接:GitHub - WSP-LAB/FUSE: A penetration testing tool for finding file upload bugs (NDSS 2020)https://github.com/WSP-LAB/FUSE

种树人1
关注
文件上传漏洞
谢公子的博客
09-29 1万+
目录 文件上传漏洞 文件上传的过滤 上传文件过滤的绕过 上传html文件 文件上传的防御 upload-libs 文件上传漏洞 文件上传漏洞是指攻击者上传了一个可执行的文件到服务器并执行。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。 文件上传漏洞条件: 上传的文件能被Web服务器当做脚本来执行 我们能够访问到上传文件的路径 服务器上传文件命名规则: 第一...
Upsploit:文件上传漏洞识别和利用工具
05-21
什么是Upsploit? Upsploit是用于文件上传漏洞识别和利用的跨平台渗透测试工具文件上传漏洞可能导致服务器端代码执行和完全破坏。 这些漏洞在网络上很多,但是很难测试,甚至很难正确测试。 Upsploit提供了许多测试,使渗透测试人员和开发人员能够轻松验证针对其Web应用程序中的文件上传漏洞实施的安全控制。 要求 OSX 10.7或更高版本,现代Linux,Windows Vista SP2或更高版本 (Linux和OSX) (Windows) 用法 视窗: $ Upsploit or double-click the executable Linux: $ ./Upsploit or $ mono Upsploit 编译中 在Visual Studio(Windows)或MonoDevelop(Windows,Linux或OSX)中打开Upsploit.sl
检测文件上传漏洞工具
weixin_68416970的博客
09-04 1653
这是一个开源的渗透测试工具,专门用于自动化检测和利用文件上传表单的缺陷。它能够识别允许上传的文件类型,并智能选择最佳方法在目标web服务器上上传Web外壳或其他恶意文件。:这是一款功能强大的安全评估工具,支持包括文件上传检测在内的多种漏洞检测类型。它的检测速度快,支持范围广,代码质量高,并且具有高级可定制性。:这是一个渗透测试系统,主要功能是识别无限制可执行文件上传(UEFU)漏洞FUSE使用用户提供的配置文件来为目标PHP应用程序指定参数,并提供文件监视器功能来辅助检测。
使用FUSE挖掘文件上传漏洞
HBohan的博客
12-11 1113
FUSE是一款功能强大的渗透测试安全工具,可以帮助广大研究人员在最短的时间内迅速寻找出目标软件系统中存在的文件上传漏洞FUSE本质上是一个渗透测试系统,主要功能就是识别无限制可执行文件上传(UEFU)漏洞
基于FUSE的简单文件系统 完整代码
01-30
本主题“基于FUSE的简单文件系统 完整代码”将深入探讨如何使用FUSE库创建一个基本的用户空间文件系统,并提供了一份完整的代码示例。 FUSE的主要优势在于它的灵活性和易用性。开发者可以通过编写C语言程序,利用...
(源码)基于C语言FUSE框架的NTFS文件系统挂载工具.zip
最新发布
11-13
# 基于C语言FUSE框架的NTFS文件系统挂载工具 ## 项目简介 本项目是一个开源的NTFS文件系统挂载工具,名为ntfs3g。它使用FUSE(Filesystem in Userspace)框架,使得用户空间的应用程序能够像操作本地文件系统一样...
bfsync:使用FuSE文件系统的大文件文件同步工具
05-09
Bfsync是一个程序,可为大文件集合提供修订控制和同步。 要获得完整的描述,请访问: : 文献资料 常规文档可在以下页面以手册页格式获得: man bfsync man bfsyncfs 单个子命令的文档可以这样查看: man bfsync...
fuse-encrypted-filesystem:使用 FUSE 的加密文件系统
07-07
加密文件系统 用法: $ make pa5-encfs $ ./pa5-encfs <MIRROR> <MOUNT> -e 等结束了: 1. $ fusermount -u 2. $ make clean 快捷方式: 1. $ make mount * performs any necessary compilation and mounts...
fuxploider:文件上传漏洞扫描器和利用工具
05-30
六倍体 Fuxploider 是一种开源渗透测试工具,可自动检测和利用文件上传表单缺陷的过程。 该工具能够检测允许上传的文件类型,并能够检测哪种技术最适合在所需的 Web 服务器上上传 web shell 或任何恶意文件。 截图 安装 您至少需要 Python 3.6。 git clone https://github.com/almandin/fuxploider.git cd fuxploider pip3 install -r requirements.txt 如果您在使用 pip 时遇到问题(如果您显然使用 Windows): python3 -m pip install -r requirements.txt 用于 Docker 安装 # Build the docker image docker build -t almandin/fuxploider . 用法 要
MSSQL上传漏洞利用工具
01-02
MSSQL上传漏洞利用工具,检测网页漏洞的一款软件
iis上传漏洞利用工具
07-06
iis解析漏洞利用工具扫描ip段 然后把出现漏洞的防放到上传工具
http请求测试工具,可以上传文件
06-30
用来测试rest的一个工具类,我觉得比较好的是可以发送文件
利用漏洞本地上传的入侵提权工具
08-16
简介: 利用漏洞本地上传的入侵提权工具 html网页格式 本资料共包含以下附件: 利用漏洞本地上传工具 html网页格式.rar
安全】P 6 文件上传漏洞(手工+工具)绕过合集
Z_David_Z的博客
02-27 3488
目录0X01 绕过JS验证JS验证代码分析Burpsuite剔除响应JS浏览器审计工具剔除JS上传Webshell,菜刀连接0X02 绕过MIME-Type验证MIME-Type介绍验证MIME-Type代码分析Burpsuite绕过MIME-Type验证菜刀连接 虚拟终端功能0X03 绕过黑名单验证基于文件后缀名验证介绍基于黑名单验证代码分析Burpsuite绕过黑名单验证上传webshell菜刀连接0X04 绕过黑名单验证(.htaccess).htaccess文件介绍配置文件http.conf审计黑名
文件上传漏洞:pikachu靶场中的文件上传漏洞通关
qq_68163788的博客
05-28 2766
文件上传功能在web应用系统很常见,比如很多网站注册的时候需要上传头像、上传附件等等。当用户点击上传按钮后,后台会对上传的文件进行判断 比如是否是指定的类型、后缀名、大小等等,然后将其按照设计的格式进行重命名后存储在指定的目录。 如果说后台对上传的文件没有进行任何的安全判断或者判断条件不够严谨,则攻击着可能会上传一些恶意的文件,比如一句话木马,从而导致后台服务器被webshell。
Fuxploider:一款针对文件上传漏洞安全检测与研究工具
大河之犬的博客
09-14 1100
Fuxploider是一款功能强大的开源渗透测试工具,该工具专门针对文件上传漏洞而设计,可以帮助广大研究人员以自动化的方式检测和利用目标站点文件上传表单中的安全问题由于该工具基于Python 3.6开发,因此我们首先需要在本地设备上安装并配置好Python 3.6+环境。
PHP实现自定义文件系统:php-fuse介绍
若要在项目中使用php-fuse,可以通过Composer包管理工具来安装。具体的命令为`composer require sj-i/php-fuse`。这意味着需要先安装Composer,然后在项目的依赖文件`composer.json`中添加相应的包信息。 4. 系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

种树人1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值