一款超强上传漏洞综合测试工具 263 + WAF 绕过Payload（2026-03-09）更新

0x01 工具介绍

UploadRangerV1.0.2 是一款专业级文件上传漏洞检测工具，内置263+ 种 WAF 绕过 Payload，覆盖文件后缀、Content-Type、文件结构、双文件等主流绕过姿势。工具集智能扫描、HTTP/HTTPS 代理、Repeater 重放、Intruder 爆破于一体，支持 Webshell 与 Polyglot 生成，带可视化 GUI 与暗色主题，一键检测上传点、分析响应、定位漏洞，是渗透测试与安全研究人员的实战利器。

更多工具获取地址：https://docs.qq.com/sheet/DWE1hQXRyWVZ2dmpB?tab=BB08J2

0x02 功能介绍

✨主要功能

🤖智能扫描：自动检测上传点，分析响应内容

代理抓包：内置 HTTP/HTTPS 代理，支持拦 截、修改、重放

Repeater：手动重放请求，调试绕过技术

Intruder：自动化爆破，支持多种攻击模式

263+ 绕过技术：支持各种文件类型绕过、Content-Type 绕过、WAF 绕过等

Payload生成器：支持WebShell、Polyglot等多种载荷生成

0x04 更新介绍

✨ 新增功能 & 优化 配置持久化: 新增 ConfigManager 配置管理器，支持 JSON 格式配置文件。 代理设置（地址、端口、拦截状态）自动保存和恢复，重启后无需重新配置。 配置文件存储在用户目录 ~/.uploadranger/config.json。 代理历史记录过滤增强: 添加过滤启用/禁用开关，避免无过滤时执行过滤逻辑。 实现 300ms 防抖过滤，避免输入时频繁触发重绘。 添加过滤统计信息，实时显示"已显示 X / 总计 Y 条"。

0x04 使用介绍

📦安装指南

• Python 3.8+

• Windows / Linux / macOS

安装依赖

pip install -r requirements.txt

运行程序

python main.py

智能扫描

• 在左侧输入目标 URL

• 选择扫描模式（快速/标准/深度）

• 点击"开始扫描"

• 查看扫描结果和漏洞详情

代理抓包

• 切换到"代理"标签页

• 点击"启动代理"按钮

• 将浏览器代理设置为127.0.0.1:8080

首次使用 HTTPS 抓包必须安装证书！

• 启动代理后，浏览器访问 http://mitm.it（非 HTTPS）；

• 点击 Windows 图标下载 mitmproxy-ca-cert.p12 证书；

• 双击证书打开导入向导，选 “当前用户”→ 密码留空→ 下一步；

• 勾选 “将所有证书放入下列存储”，浏览选择 “受信任的根证书颁发机构”；

• 确认后完成导入，安全警告点 “是”；

• 重启浏览器，HTTPS 抓包生效。

​​​​​​​下载地址

访问原文地址在末尾获取下载地址​​​​​​​

https://mp.weixin.qq.com/s/uyWL1X43l86Zy1NtcZTKWA