chndlrx/file-upload-payloads
GitHub: chndlrx/file-upload-payloads
面向 Web 文件上传安全测试的 Payload 与测试文件集合,覆盖 XSS、XXE、SSRF、Webshell、压缩炸弹等多种攻击向量。
Stars: 0 | Forks: 0
# 文件上传安全测试工具包
用于评估 Web 应用程序中文件上传漏洞的 Payload 集合、PoC 文件和测试向量。按攻击类别组织,适用于系统性渗透测试和安全研究。
## 目录
| 类别 | 描述 |
|----------|-------------|
| [内容覆盖](./Content%20Overwrite/) | 针对关键服务器配置文件的文件 (`.htaccess`, `php.ini`, `nginx.conf`, cron, sudoers, SSH keys 等) |
| [DoS](./DoS/) | 压缩炸弹 (zip, tar, bz2, gz, xz), CSV/JSON/YAML/XML 炸弹, 以及 ZIP slip payloads |
| [EICAR](./EICAR/) | 标准 AV 测试文件,用于验证杀毒软件和端点保护是否处于活动状态 |
| [文件名注入](./File%20Name%20Injection/) | 文件名模糊测试字典,涵盖路径遍历、XSS、SSTI、OS 命令注入、SQLi、SSRF 和 CRLF |
| [公式注入](./Formula%20Injection/) | CSV/XLSX 电子表格注入 payload (DDE, 数据窃取),针对 Excel 和 Google Sheets |
| [开放重定向](./Open%20Redirect/) | 嵌入在 HTML, PDF, SVG, XML, JS, WASM 和 Electron 文件类型中的重定向 payload |
| [SSRF](./SSRF/) | 基于使用各种 XML 属性触发内部请求的 SVG SSRF payload |
| [SSTI](./SSTI/) | 通过模板渲染演示代码执行的服务器端模板注入文件 |
| [Test](./Test/) | 涵盖广泛扩展名和 MIME 类型的数百个文件,用于基本上传过滤器测试 |
| [Web Shells](./Web%20Shells/) | PHP, ASP, ASPX, JSP, CFM, Perl, Python, Ruby 和 WordPress 的 Web shell payload |
| [XSS](./XSS/) | 涵盖 HTML, PDF, SVG, XML, CSS, JS 和 RSS 的 XSS 测试文件 |
| [XXE](./XXE/) | XML, DOCX, XLSX, ODT 和 SVG 中的 XXE payload;涵盖 OOB 数据外带、billion laughs、SSRF 链式攻击 |
## 使用技巧
- **文件名模糊测试:** 对于 `File Name Injection` 文件夹中的 payload,在上传单个有效文件时对文件名参数进行模糊测试。在文件系统上存储带有特殊字符或路径分隔符的文件可能会导致问题 —— 对参数进行模糊测试可以避免这种情况。这里仍然包含了相关文件,以防你不想听从我的建议。
- **从 `Test/` 开始**,以便在转向针对性攻击 payload 之前快速映射出接受哪些文件类型和扩展名。
- **文件处理:** 务必查看在处理文件扩展名、文件内容、内容类型和文件大小时,客户端和服务器端控件是否存在差异。
## 优秀资源
有几个很棒的资源可供你查阅,用于文件上传测试。以下是我个人推荐的一些:
- https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Upload%20Insecure%20Files/README.md
- https://book.hacktricks.wiki/en/pentesting-web/file-upload/index.html
- https://github.com/xl7dev/WebShell/tree/master
- https://portswigger.net/web-security/file-upload
- https://owasp.org/www-community/vulnerabilities/Unrestricted_File_Upload
- https://cheatsheetseries.owasp.org/cheatsheets/File_Upload_Cheat_Sheet.html
标签:CISA项目, CSV注入, DNS 反向解析, DNS枚举, fuzzing, MIME类型绕过, Payload集合, RuleLab, SSRF, SSTI, WebShell, Web安全, XSS, XXE, 压缩炸弹, 命令注入, 安全测试, 拒绝服务, 攻击向量, 攻击性安全, 数据可视化, 数据展示, 文件上传漏洞, 文件包含, 本体建模, 漏洞情报, 红队, 网络信息收集, 网络安全审计, 网络安全工具, 蓝队分析, 路径遍历, 逆向工具