DEEPANSHU111-source/UploadHunter

# 🚀 UploadHunter UploadHunter 是一款自动化安全测试工具，旨在检测 Web 应用中的**文件上传漏洞**。 它可以帮助安全研究人员和学生识别以下关键问题： * 无限制文件上传 * MIME 类型绕过 * 扩展名绕过 * 内容验证绕过（magic bytes） * 基于 SVG 的 XSS * HTTP PUT 上传配置错误 * 竞态条件漏洞 ## 🎯 功能特性 * 🔍 自动检测文件上传表单 * 🧠 生成智能 payload（PHP、SVG、polyglot） * ⚡ 支持多种绕过技术： * 扩展名绕过 * MIME 类型欺骗 * 内容验证绕过 * 💀 高级攻击模块： * SVG XSS * PUT 上传利用 * 竞态条件攻击 * 📊 生成报告（JSON + HTML） ## 📁 项目结构 ``` UploadHunter/ ├── core/ # Engine (crawler, uploader, executor, analyzer,mutator) ├── modules/ # Attack modules ├── payloads/ # Payload files and wordlists ├── utils/ # Helper utilities ├── reports/ # Output reports ├── main.py # Entry point ``` ## ⚙️ 安装 ``` git clone https://github.com/DEEPANSHU111-source/UploadHunter.git cd UploadHunter pip install -r requirements.txt ``` ## 🚀 用法 ``` python main.py --url http://target.com ``` （可选：配合 Burp Suite 使用代理） ``` python main.py --url http://target.com --proxy http://127.0.0.1:8080 ``` ## 🧪 模块 | 模块 | 描述 | | ------------------ | ------------------------------- | | Extension Bypass | 双扩展名，大小写绕过 | | MIME Bypass | 伪造 content-type | | Content Validation | Magic byte 绕过 | | SVG XSS | 利用 SVG 实现存储型 XSS | | PUT Upload | 使用 PUT 方法直接上传 | | Race Condition | 基于时间竞争的文件上传攻击 | ## 📊 输出 报告保存于： ``` reports/report.json reports/report.html ``` ## ⚠️ 免责声明 本工具仅供**教育与合乎道德的使用**。 请勿在未经授权的系统上使用。 ## 👨‍💻 作者 * 姓名：Deepanshu Deswal * 领域：网络安全 | 漏洞赏金 | Web 安全 ## ⭐ 未来改进 * 基于 AI 的漏洞检测 * 自动化漏洞利用链 * 云端扫描支持 * 与其他安全工具集成 ## 🔥 为什么选择 UploadHunter？ 文件上传漏洞可能导致**远程代码执行（RCE）**和**严重的安全漏洞**。 UploadHunter 自动化了以下步骤： * 检测 * 利用 * 验证 从而让发现真实世界中的漏洞变得更加容易。 ## 许可证 本项目基于 MIT 许可证授权。

标签：BeEF, CISA项目, DNS 反向解析, DNS 解析, Homebrew安装, HTML报告, HTTP PUT, MIME绕过, Payload生成, Python安全工具, SVG XSS, Web安全, 加密, 反取证, 多模态安全, 安全评估, 扩展名绕过, 攻击模拟, 数据展示, 文件上传漏洞, 漏洞扫描器, 爬虫, 竞态条件, 红队, 网络安全, 蓝队分析, 逆向工具, 隐私保护, 靶场测试, 驱动签名利用, 魔术字节绕过, 黑盒测试