Один из инструментов, которые помогают исследователям безопасности и пентестерам обнаруживать и эксплуатировать уязвимости в формах загрузки, — это Fuxploider. В статье покажу, как установить и использовать Fuxploider для обнаружения уязвимостей в веб-приложениях.
Еще по теме: Автоматизация поиска уязвимостей в формах загрузки файлов
Поиск уязвимостей в формах загрузки файлов с Fuxploider
Fuxploider (https://github.com/almandin/fuxploider) — инструмент Python с открытым исходным кодом для автоматизации поиска и эксплуатации уязвимостей в формах загрузки файлов.
Этот инструмент способен определить типы файлов, разрешенных для загрузки, и определить, какая техника лучше всего подходит для загрузки веб-шеллов или любых вредоносных файлов на целевой веб-сервер.
Тулза состоит из сканера для поиска уязвимостей и модуля для их эксплуатации.
Статья для обучения багхантеров (этичных хакеров). При участии в программе Bug Bounty необходимо действовать этично и придерживаться установленных правил. Несанкционированный взлом рассматривается как уголовное преступление. Ни редакция spy-soft.net, ни автор не несут ответственности за ваши действия.
Fuxploider выполнит сканирование, обнаружит уязвимости (если они есть) и предоставит информацию о возможных методах эксплуатации.
Установка Fuxploider
Вы можете установить этот инструмент с помощью следующих команд:
1 2 3 |
$ git clone https://github.com/almandin/fuxploider.git $ cd fuxploider $ pip install -r requirements.txt |
Использование Fuxploider
Запускаем справку:
1 |
$ python fuxploider.py -h |
Теперь давайте рассмотрим пример использования Fuxploider:
1 |
$ python fuxploider.py --url https://anonfiles.com --not-regex "This file Type is Not Supported" |
Команда выполнила сканирование сайта https://anonfiles.com, который используется в качестве анонимного файлообменика.
Заключение
Fuxploider — это отличный инструмент для обнаружения и эксплуатации уязвимостей в формах загрузки файлов на веб-серверах.
ПОЛЕЗНЫЕ ССЫЛКИ: