关于FUSE

FUSE是一款功能强大的渗透测试安全工具,可以帮助广大研究人员在最短的时间内迅速寻找出目标软件系统中存在的文件上传漏洞。

FUSE本质上是一个渗透测试系统,主要功能就是识别无限制可执行文件上传(UEFU)漏洞。

关于如何配置和执行FUSE,请参阅以下内容。

工具安装

当前版本的FUSE支持在Ubuntu 18.04和Python 2.7.15环境下工作。

首先,我们需要使用下列命令安装好FUSE正常运行所需的依赖组件:

# apt-get install rabbitmq-server

# apt-get install python-pip

# apt-get install git

接下来,将该项目源码克隆至本地:

$ git clone https://github.com/WSP-LAB/FUSE

并切换至项目目录下配置好依赖环境:

$ cd FUSE && pip install -r requirements.txt

如果你想要使用selenium实现无头浏览器验证的话,你还需要安装好Chrome和Firefox Web驱动器。

工具使用

【点击获取学习资料】

  • 渗透工具

  • 技术文档、书籍 最新大厂面试题目及答案

  • 视频教程

  • 应急响应笔记

  • 学习思路构图等等

FUSE配置

FUSE使用了用户提供的配置文件来为目标PHP应用程序指定参数。在测试目标Web应用程序之前,必须将相关参数提供给脚本执行。具体请参考项目的README文件或配置文件参考样例。

针对文件监控器的配置样例(可选):

$ vim filemonitor.py

10 MONITOR_PATH=’/var/www/html/’ <- Web root of the target application
11 MONITOR_PORT=20174 <- Default port of File Monitor
12 EVENT_LIST_LIMITATION=8000 <- Maxium number of elements in EVENT_LIST

FUSE执行

FUSE:

$ python framework.py [Path of configuration file]

文件监控器:

$ python filemonitor.py

扫描结果:

  • 当FUSE完成了渗透测试任务之后,将会在当前工作目录下创建一个[HOST]目录和一个[HOST_report.txt]文件。
  • [HOST]文件夹中存储的是工具尝试上传的所有文件。
  • [HOST_report.txt]文件中包含了渗透测试的执行结果,以及触发了UEFU漏洞的相关文件信息。

漏洞CVE

如果你在号盗了UFU或UEFU漏洞,可以通过运行FUSE来获取相关漏洞的CVE编号信息:


工具&论文引用

@INPROCEEDINGS{lee:ndss:2020,author = {Taekjin Lee and Seongil Wi and Suyoung Lee and Sooel Son},title = {{FUSE}: Finding File Upload Bugs via Penetration Testing},booktitle = {Proceedings of the Network and Distributed System Security Symposium},year = 2020}

使用FUSE挖掘文件上传漏洞相关推荐

  1. FUSE挖掘文件上传漏洞(工具介绍)

    FUSE 简介 FUSE是一款强大的渗透测试工具,可以帮助测试人员在最短时间内找到目标软件系统中存在的文件上传漏洞 FUSE本质上是一个渗透测试系统,主要功能就是识别无限制可执行文件上传(UEFU)漏 ...

  2. .hpp文件_文件上传漏洞另类绕过技巧及挖掘案例全汇总

    文件上传漏洞作为获取服务器权限最快的方式,虽然相关资料很多,但很多人对上传校验方式.如何针对性绕过检测.哪种上传和解析的场景会产生危害等还是比较模糊.本文作一些阐述,然后补充一些除了上传webshel ...

  3. 上传绕过php文件改为图片,文件上传漏洞另类绕过技巧及挖掘案例全汇总

    文件上传漏洞作为获取服务器权限最快的方式,虽然相关资料很多,但很多人对上传校验方式.如何针对性绕过检测.哪种上传和解析的场景会产生危害等还是比较模糊.本文作一些阐述,然后补充一些除了上传webshel ...

  4. web安全之文件上传漏洞攻击与防范方法

    一. 文件上传漏洞与WebShell的关系 文件上传漏洞是指网络攻击者上传了一个可执行的文件到服务器并执行.这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等.这种攻击方式是最为直接和有效 ...

  5. html 上传文件_【实战篇】记一次文件上传漏洞绕过

    点击上方"公众号" 可以订阅哦! Hello,各位小伙伴大家好~ 最近有点高产似母猪~ 那今天就少写点,简单记录一个文件上传漏洞的绕过吧~(机智如我..) 之前也介绍过一期文件上传 ...

  6. tomcat temp 大量 upload 文件_渗透测试之文件上传漏洞总结

    文末下载上传环境源码 客户端 js检查 一般都是在网页上写一段javascript脚本,校验上传文件的后缀名,有白名单形式也有黑名单形式. 查看源代码可以看到有如下代码对上传文件类型进行了限制: 我们 ...

  7. 网络安全课第七节 文件上传漏洞的检测与防御

    13 文件上传漏洞:种植服务器木马的捷径 上一讲介绍过反序列化漏洞,利用漏洞常可以造成执行代码的严重后果. 从本讲开始将介绍文件上传漏洞,它比反序列化漏洞原理与利用更加简单,但同样可以达到控制服务器的 ...

  8. Web安全-文件上传漏洞与WAF绕过

    文章目录 概述 Webshell简述 上传漏洞原理 上传漏洞绕过 解析漏洞 IIS 6.0解析漏洞 Apache解析漏洞 Nginx解析漏洞 Windows文件命名 客户端检测绕过 更改前端JS代码 ...

  9. 上传图片被防火墙拦截_Web安全:文件上传漏洞

    文章来源:计算机与网络安全 一般将文件上传归类为直接文件上传与间接文件上传.直接文件上传就是服务器根本没有做任何安全过滤,导致攻击者可以直接上传小马文件及大马文件(如ASP.ASPX.PHP.JSP及 ...

最新文章

  1. @即将读研的师弟师妹们!
  2. @Value和Hibernate问题
  3. MySQL复制原理与配置
  4. python实践项目(二)
  5. JVM学习笔记 -- 从一段几乎所有人代码都会犯错的代码开始
  6. 提高专业技能之 “专利申请”
  7. C程序-将华氏温度转换为摄氏和开氏
  8. java23种设计模式(十六) -- 中介者模式(行为设计模式)
  9. 个人对傅里叶分析的理解与整理(持续整理中)
  10. Unity一键修改NGUI字体的编辑器脚本
  11. 史上最强内网渗透知识点总结
  12. 协同OA产品要完全符合企业的办公模式吗?
  13. js打印去除页眉页脚
  14. python猴子吃桃问题_用Python解决猴子吃桃问题
  15. 音视频技术开发周刊 | 254
  16. 【项目评级】ArcBlock(ABT)-区块链基石网络
  17. matlab 在二次函数图像,二次函数图像(二次函数图像图片)
  18. 红米2a android5,红米手机/小米手机2S/2A三机对比图赏
  19. 中科院大学计算机科学与技术王伟强,李振宇 - 中国科学院大学 - 计算机科学与技术学院...
  20. PS-TS-PES-ES流结构分析

热门文章

  1. ML之nyoka:基于nyoka库利用LGBMClassifier模型实现对iris数据集训练、保存为pmml模型并重新载入pmml模型进而实现推理
  2. 成功解决AttributeError: module tensorflow.compat has no attribute v1
  3. Appendix之setup.py:附录文件内容记录setup.py
  4. 成功解决getaddrinfo:请求的名称有效,但是找不到请求的类型的数据。(11004
  5. 成功解决AttributeError: 'Word2Vec' object has no attribute 'index2word'
  6. Py之logging:logging的简介、安装、使用方法之详细攻略
  7. 汉语自然语言处理工具包下载
  8. JavaScript 表单编程
  9. Python GUI编程--Tkinter
  10. 3月25日 JavaScript