文章总结: UploadRanger是一款基于PySide6开发的文件上传漏洞检测工具,集成智能扫描、代理抓包、Repeater重放和Intruder爆破四大模块,内置263+绕过技术与14类Payload,支持安全测试与渗透测试双模式。工具通过环境指纹识别动态调整Payload优先级,提供类Burp的代理拦截和四模式爆破功能,适用于Web安全研究员和渗透测试工程师进行授权合规检测或红队评估。 综合评分: 75 文章分类: WEB安全,渗透测试,安全工具,漏洞分析,红队
、Content-Type 伪造、<strong>WAF 绕过</strong>、<em>文件名编码</em>(Unicode、URL 编码)、multipart boundary 混淆等。系统通过 <strong>EnvironmentFingerprinter</strong> 自动识别目标 <em>Web 服务器</em>、操作系统、<strong>开发语言</strong>,动态调整 Payload 优先级,对高置信度后缀自动<strong>跳过冗余测试</strong>,提升扫描效率。</p>
<h3 id=)
3. 类 Burp 代理与四模式爆破
内置 mitmproxy 引擎实现 HTTP/HTTPS 代理抓包,支持拦截请求、修改放行、丢弃、发送到 Repeater/Intruder等标准操作。Intruder 模块支持 Sniper(单点依次替换)、Battering Ram(全位置相同)、Pitchfork(一一对应)、Cluster Bomb(笛卡尔积)四种攻击模式,通过 § 标记符号灵活定义注入点,满足复杂绕过场景的自动化测试需求。
🛠️ 技术优势
| 技术/特性 | 说明 | 优势 | | — | — | — | | PySide6 | 现代化 Qt GUI 框架 | 暗色主题,长时间使用不疲劳 | | mitmproxy | 专业级代理引擎 | 拦截 HTTPS,证书自动管理 | | httpx[http2] | 异步 HTTP 客户端 | HTTP/2 支持,高性能并发 | | RawHTTPClient | 字节级 HTTP 控制 | 精确操控 multipart 边界 | | SmartAnalyzer | 三级响应分析 | 状态码+关键词+路径+置信度 | | 异步扫描 | QThread + asyncio | 不阻塞 UI,实时结果更新 |
📖 使用指南
① 准备工作:执行 pip install -r requirements.txt 安装依赖(核心:PySide6、mitmproxy、httpx)。运行 python main.py 或双击 UploadRanger.bat 启动。首次 HTTPS 抓包需访问 http://mitm.it 下载并安装受信任的根证书。
② 核心操作:在智能扫描页输入目标 URL,选择扫描模式(推荐先用安全测试模式验证漏洞),勾选需要测试的后缀类型后点击开始。切换到代理页启动 127.0.0.1:8080 代理,浏览器设置代理后自动拦截请求,右键发送到 Repeater 进行手动绕过调试,或发送到 Intruder 执行自动化爆破。
③ 结果查看:扫描结果在智能扫描页按置信度打分展示,包含状态码、响应关键词匹配、上传路径提取等信息。Repeater 响应支持 Raw/Headers/Render 三视图,Intruder 结果以表格形式呈现所有 Payload 组合的响应差异。
📖 项目地址
https://github.com/Gentle-bae/UploadRanger/tree/main
💻 技术交流与学习
如果师傅们想要第一时间获取到最新的威胁情报,可以添加下面我创建的钉钉漏洞威胁情报群,便于师傅们可以及时获取最新的IOC。
如果师傅们想要获取网络安全相关知识内容,可以添加下面我创建的网络安全全栈知识库,便于师傅们的学习和使用: 覆盖渗透、安服、运营、代码审计、内网、移动、应急、工控、AI/LLM、数据、业务、情报、黑灰产、SRC、溯源、钓鱼、区块链等 方向,内容还在持续整理中……。
⚠️打广告的勿进,会直接踢掉!!!
| |
|
| — | — |
|
|
|
推荐阅读
✦ ✦ ✦
| 渗透测试人员必备武器库:子域名爆破、漏洞扫描、内网渗透、工控安全工具全收录 | | — | | AI驱动的自动化红队编排框架(AutoRedTeam-Orchestrator)跨平台支持,集成 130+ 安全工具与 2000+ Payload | | JS逆向必备:这款插件能Bypass Debugger、Hook CryptoJS、抓取路由 | | 上传代码即审计:AI 驱动的自动化漏洞挖掘与 POC 验证平台 | | AI 原生安全测试平台(CyberStrikeAI) | | 多Agent智能协作+40+工具调用:基于大模型的端到端自动化漏洞挖掘与验证系统 | | 基于DeepSeek的代码审计工具 (Ai-SAST-tool.xjar) | | 基于AI的自主渗透测试平台 |
✦ ✦ ✦
点分享
点收藏
点在看
点点赞
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:0x八月 0x八月 0x八月《【渗透必备】263+ 绕过技术的文件上传漏洞检测平台》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论