DonAsako/uploadshell

# 上传 shells 基于 Web 的文件传输命令速查表。设置你的 LHOST、LPORT 和文件名，即可即时生成攻击者和受害者双方的命令。 在线访问：https://donasako.github.io/uploadshell/ ## 涵盖的方法 - HTTP 服务器（Python、PHP、Ruby、BusyBox、Node.js、PowerShell） - wget / curl（下载，POST/PUT 上传） - PowerShell（WebClient、Invoke-WebRequest、certutil、bitsadmin、Base64） - Netcat / Socat（发送、接收、Base64、tar、SSL） - SMB（Impacket、WebDAV） - FTP（pyftpdlib、单行命令） - TFTP（atftpd、tftpy） - SCP / SSH（拉取、推送、SFTP、rsync、cat 管道） - Base64 / xxd（无网络） - 数据渗透（通过 dnscat2 的 DNS，通过 icmpsh 的 ICMP） ## 使用方法 无需构建步骤。通过本地 HTTP 服务器打开 `index.html`： ``` python3 -m http.server 8000 ``` 然后在浏览器中打开 `http://localhost:8000`。直接以 `file://` URL 打开 `index.html` 将不起作用，因为浏览器会阻止对 `data.json` 的 `fetch` 请求。 ## 贡献 方法存储在 `data.json` 中。每个条目遵循以下模式（schema）： ``` { "id": "unique-id", "title": "Display Name", "os": ["Linux", "macOS", "Windows"], "category": "Category Name", "direction": ["download", "upload"], "server": { "desc": "What the attacker runs", "cmd": "command --with {IP} {PORT} {FILE}" }, "client": { "desc": "What the victim runs", "cmd": "command --with {IP} {PORT} {FILE}" }, "note": "Optional extra context shown below the commands" } ``` **占位符：**使用 `{IP}`、`{PORT}` 和 `{FILE}` —— 它们会在 UI 中被实时替换。 **规则：** - `id` 必须唯一且为小写（kebab-case 短横线命名法） - `os` 必须仅包含以下值：`Linux`、`macOS`、`Windows` - `direction` 必须包含 `"download"`（受害者从攻击者拉取）、`"upload"`（受害者推送到攻击者），或两者皆包含（如果该方法支持双向） - `category` 必须完全匹配现有分类，或者一致地引入新分类 - 命令必须可直接复制粘贴且正确无误 —— 提交前请务必进行测试 - 每个条目对应一种方法；请勿将不相关的技术捆绑在单个条目中 - `note` 为可选项 —— 仅在需要传达非显而易见的信息时使用

标签：Base64, CTF工具, dnscat2, DNS 隧道, Exfiltration, Homebrew安装, HTTP Server, icmpsh, ICMP 隧道, Impacket, IPv6, LHOST LPORT, Netcat, Payload 生成, PowerShell, SMB, Socat, SSH, TFTP, Web Cheatsheet, WebDAV, 信息收集与交互, 后端开发, 命令生成器, 命令速查表, 多模态安全, 安全测试, 攻击性安全, 攻击路径可视化, 数据可视化, 数据渗漏, 文件传输, 漏洞搜索, 网络信息收集, 网络安全, 错误配置检测, 隐私保护, 黑客工具