百度360必应搜狗淘宝本站头条
python判断字典是否为空crontab每周一执行aes和des区别安装指定版本npmadb pull
当前位置:网站首页 > IT知识 > 正文

使用FUSE挖掘文件上传漏洞(文件上传漏洞工具)

liuian 2025-07-03 17:05 58 浏览

关于FUSE

FUSE是一款功能强大的渗透测试安全工具,可以帮助广大研究人员在最短的时间内迅速寻找出目标软件系统中存在的文件上传漏洞。

FUSE本质上是一个渗透测试系统,主要功能就是识别无限制可执行文件上传(UEFU)漏洞。

关于如何配置和执行FUSE,请参阅以下内容。

工具安装

当前版本的FUSE支持在Ubuntu 18.04和Python 2.7.15环境下工作。

首先,我们需要使用下列命令安装好FUSE正常运行所需的依赖组件:

# apt-get install rabbitmq-server

# apt-get install python-pip

# apt-get install git

接下来,将该项目源码克隆至本地:

$ git clone https://github.com/WSP-LAB/FUSE

并切换至项目目录下配置好依赖环境:

$ cd FUSE && pip install -r requirements.txt

如果你想要使用selenium实现无头浏览器验证的话,你还需要安装好Chrome和Firefox Web驱动器。

工具使用

【点击获取学习资料】

渗透工具

技术文档、书籍 最新大厂面试题目及答案

视频教程

应急响应笔记

学习思路构图等等

FUSE配置

FUSE使用了用户提供的配置文件来为目标PHP应用程序指定参数。在测试目标Web应用程序之前,必须将相关参数提供给脚本执行。具体请参考项目的README文件或配置文件参考样例。

针对文件监控器的配置样例(可选):

$ vim filemonitor.py ... 10 MONITOR_PATH='/var/www/html/' <- Web root of the target application 11 MONITOR_PORT=20174 <- Default port of File Monitor 12 EVENT_LIST_LIMITATION=8000 <- Maxium number of elements in EVENT_LIST ...

FUSE执行

FUSE:

$ python framework.py [Path of configuration file]

文件监控器:

$ python filemonitor.py

扫描结果:

  • 当FUSE完成了渗透测试任务之后,将会在当前工作目录下创建一个[HOST]目录和一个[HOST_report.txt]文件。
  • [HOST]文件夹中存储的是工具尝试上传的所有文件。
  • [HOST_report.txt]文件中包含了渗透测试的执行结果,以及触发了UEFU漏洞的相关文件信息。

漏洞CVE

如果你在号盗了UFU或UEFU漏洞,可以通过运行FUSE来获取相关漏洞的CVE编号信息:

应用程序

CVE

Elgg

CVE-2018-19172

ECCube3

CVE-2018-18637

CMSMadeSimple

CVE-2018-19419, CVE-2018-18574

CMSimple

CVE-2018-19062

Concrete5

CVE-2018-19146

GetSimpleCMS

CVE-2018-19420, CVE-2018-19421

Subrion

CVE-2018-19422

OsCommerce2

CVE-2018-18572, CVE-2018-18964, CVE-2018-18965, CVE-2018-18966

Monstra

CVE-2018-6383, CVE-2018-18694

XE

XEVE-2019-001

工具&论文引用

@INPROCEEDINGS{lee:ndss:2020,

author = {Taekjin Lee and Seongil Wi and Suyoung Lee and Sooel Son},

title = {{FUSE}: Finding File Upload Bugs via Penetration Testing},

booktitle = {Proceedings of the Network and Distributed System Security Symposium},

year = 2020

}

相关推荐

Python中的列表详解及示例_python列表讲解

艾瑞巴蒂干货来了,数据列表,骚话没有直接来吧列表(List)是Python中最基本、最常用的数据结构之一,它是一个有序的可变集合,可以包含任意类型的元素。列表的基本特性有序集合:元素按插入顺序存储可变...

PowerShell一次性替换多个文件的名称

告别繁琐的文件重命名,使用PowerShell语言批量修改文件夹中的文件名,让您轻松完成重命名任务在日常工作中,我们经常需要对大量文件进行重命名,以便更好地管理和组织。之前,我们曾介绍过使用Pytho...

小白必看!Python 六大数据类型增删改查秘籍,附超详细代码解析

在Python中,数据类型可分为可变类型(如列表、字典、集合)和不可变类型(如字符串、元组、数值)。下面针对不同数据类型详细讲解其增删改查操作,并给出代码示例、输出结果及分析总结。1.列表(Li...

python数据容器之列表、元组、字符串

数据容器分为5类,分别是:列表(list)、元组(tuple)、字符串(str)、集合(set)、字典(dict)list#字面量[元素1,元素2,元素3,……]#定义变量变量名称=[元素1,元素...

python列表(List)必会的13个核心技巧(附实用方法)

列表(List)是Python入门的关键步骤,因为它是编程中最常用的数据结构之一。以下是高效掌握列表的核心技巧和实用方法:一、理解列表的本质可变有序集合:可随时修改内容,保持元素顺序混合类型:一个列表...

如何利用python批量修改文件名_python如何对文件进行批量命名

很多语言都可以做到批量修改文件名,今天我就给大家接受一下Python的方法,首选上需求。图片中有10个txt文件,现在我需要在这些文件名的前面全部加一个“学生”,可以吗?见证奇迹的时刻到了。我是怎么做...

Python中使用re模块实现正则表达式的替换字符串操作

#编程语言#我是"学海无涯自学不惜!",关注我,一同学习简单易懂的Python编程。0基础学python(83)Python中,导入re模块后还可以进行字符串的替换操作,就是sub()...

python列表十大常见问题,你遇到第几个?

Python列表常见问题及解决方案1.修改列表时的常见陷阱问题:在遍历时修改列表#错误做法:在遍历时删除元素会导致意外结果numbers=[1,2,3,4,5,6]forn...

python入门007:编辑列表_python列表怎么写入文件

一、列表的编辑操作列表创建后,随着程序的运行,可以通过对列表元素的增删改操作来编辑列表。1、修改列表元素的值修改列表元素的操作方法与访问列表元素的方法类似。例如,要修改列表元素的值,先指定列表及元素...

Python教程:在python中修改元组详解

欢迎你来到站长在线的站长学堂学习Python知识,本文学习的是《在Python中修改元组详解》。本知识点主要内容有:在Python中直接使用赋值运算符“=”给元组重新赋值、在Python中使用加赋值运...

Python列表(List)一文全掌握:核心知识点+20实战练习题

Python列表(List)知识点教程一、列表的定义与特性定义:列表是可变的有序集合,用方括号[]定义,元素用逗号分隔。list1=[1,"apple",3.14]lis...

Python教程-列表复制_python对列表进行复制

作为软件开发者,我们总是努力编写干净、简洁、高效的代码。Python列表是一种多功能的数据结构,它允许你存储一个项目的集合。在Python中,列表是可变的,这意味着你可以在创建一个列表后改变它的...

Python入门学习教程:第 6 章 列表

6.1什么是列表?在Python中,列表(List)是一种用于存储多个元素的有序集合,它是最常用的数据结构之一。列表中的元素可以是不同的数据类型,如整数、字符串、浮点数,甚至可以是另一个列表。列...

Python列表、元组、字典和集合_python中的列表元组和字典

Python中的列表(List)、元组(Tuple)、字典(Dict)和集合(Set)是四种最常用的核心数据结构。掌握它们的基础操作只是第一步,真正发挥威力的是那些高级用法和技巧。首先我们先看一下这...

学习编程第167天 python编程 使用format方法灵活替换字符串

今天学习的是刘金玉老师零基础Python教程第51期,主要内容是python编程使用format方法灵活替换字符串。一、format方法(一)format方法是字符串自带的方法,使用的format方法...

一周热门
最近发表
标签列表