告别手动构造 Payload：Burp 文件上传漏洞测试插件，1000 + 绕过 Payload 全解析|工具分享

0x01 工具介绍

一款强大的Burp Suite插件——Upload_Auto_Fuzz。该工具集成了超过1000种精心设计的Payload，涵盖后缀变体、双写绕过、空字节截断及系统解析特性等14种核心策略。其最新的v1.2.0版本更支持可视化配置与特定语言定向Fuzz，配合Intruder模块，助你一键自动化突破上传限制，彻底告别繁琐的手工测试！

注意：现在只对常读和星标的公众号才展示大图推送，建议大家把渗透安全HackTwo"设为星标⭐️"否则可能就看不到了啦！

下载地址在末尾 #渗透安全HackTwo

0x02 功能简介

✨ 主要特性

后缀绕过

• 可执行扩展名变体：php3/php5/phtml/phar/asa/cer/ashx/jspx 等

• 大小写混淆：pHp、PhP、aSp、JsP

• 双写绕过：pphphp、aspasp、jspjsp

• 特殊字符：空格、点号、分号（shell.php.、shell.php;.jpg）

• 空字节截断：shell.php%00.jpg

请求头操控

• Content-Disposition 大小写：ConTENT-DisPoSition

• form-data 污染：删除、替换为脏数据、多分号

• filename 参数：双 filename、空 filename、未闭合引号、多等号

• 换行注入：filename\n="shell.php"

Content-Type 绕过

• MIME 类型伪造：image/gif、image/png、application/octet-stream

• URL 编码：image%2Fgif、image%2Fphp

• 双重 Content-Type 头

• 大小写变换

系统特性利用

Windows

• NTFS 数据流：shell.php::$DATA

• IIS 分号解析：shell.asp;.jpg

• 保留设备名：con.php、aux.asp

• 尾部空格/点号

Linux

• Apache 多扩展名：shell.php.jpg

• 路径穿越：../shell.php

• 隐藏文件：.shell.php

编码绕过

• URL 编码扩展名：%70%68%70

• 双重 URL 编码

• MIME 编码（RFC 2047）

• Unicode 字符替换

配置文件上传

• .htaccess

  SetHandler 解析任意文件为 PHP

• .user.ini

  auto_prepend_file 文件包含

• web.config

  IIS handlers 配置

文件内容

• 魔术字节注入：GIF89a、PNG 头、PDF 头

• WebShell 内容（可选）

• 图片头 + WebShell 组合

0x03更新说明

v1.2.0 - 架构重构，新增配置面板，策略模式，1000+ payloadv1.1.0 - 新增云环境绕过、AI 防御对抗模块v1.0.0 - 初始版本，基础 Fuzz 功能

0x04 使用介绍

📦使用指南

1. 下载Upload_Auto_Fuzz.py

2. Burp Suite → Extender → Add

3. Extension type 选择 Python

4. 选择下载的文件，点击 Next

需要配置 Jython，可以网上搜索下载

配置（可选）

安装后在 Burp 顶部菜单栏会出现Upload Fuzz标签页：

Target Backend Languages：选择目标后端语言

Fuzzing Strategies：启用/禁用特定测试策略

Include WebShell Content：是否在 payload 中包含实际 WebShell 代码

测试步骤

1. 抓取文件上传请求，发送到 Intruder

2. 选中需要 Fuzz 的区域（建议选中整个文件部分）

Content-Disposition: form-data; name="file"; filename="test.jpg"Content-Type: image/jpeg[文件内容]

Payloads 标签页配置：

• Payload type:Extension-generated

• Select generator:Upload_Auto_Fuzz 1.2.0

重要：取消勾选Payload Encoding

开始攻击，根据响应长度/状态码筛选结果

下载

公众号回复20260123获取下载