一款专注于解决「孤立上传 API 测试痛点」的渗透测试工具,让无前端页面的上传接口测试更高效、更精准。
在日常渗透测试、红蓝对抗及 SRC 漏洞挖掘中,文件上传场景主要分为两类,其中隐性上传场景的核心痛点,成为工具开发的核心契机:
1.1 两种上传场景对比
二、工具定位
文件上传接口的「全自动狙击镜」,核心解决「孤立上传 API 难以快速构造有效请求」的痛点,实现 「跳过前端,直接对话后端 API」 的测试模式。
三、核心优势与功能
3.1 核心优势
🚀 无需前端页面依赖:仅需提供上传接口 URL,瞬间生成符合 RFC 标准的上传报文,彻底摆脱对前端页面的依赖;
🛠️ 全自动化构造:自动完成 Boundary 分隔符生成、Content-Type 声明、Content-Length 计算,100% 规避手动构造的语法失误;
⚔️ 贴合实战需求:内置渗透测试实战常用策略,无需额外配置即可开展测试。
3.2 核心功能
后缀绕过组合拳:集成点绕过、空格绕过、大小写混淆等常用绕过逻辑;
幻数伪造:自动为测试文件添加对应格式幻数,提升绕过成功率;
免杀混淆模板:内置 PHP、JSP 等主流脚本语言的免杀混淆模板,适配实战场景;
一键生成请求包:输入 URL 后,自动生成可直接用于 BurpSuite 等工具的测试包。
0x04 简要使用说明
环境:本地有 JRE 1.8 即可。
运行:java -jar Modern-Upload-Tester-v1.0.jar
联动:建议配合 Burp 代理 127.0.0.1:8080 进行二次确认,确保请求无误。
0x05 总结
工具比较轻量,主要用于孤立 API 上传请求的快速构造,方便测试。
本工具仅限于授权安全测试与技术研究,严禁用于非法目的。任何因滥用本工具而导致的法律责任或后果,由使用者本人承担。
觉得内容不错?我要
