Fuxploider es una herramienta de prueba de penetración de código abierto que automatiza el proceso de detección y explotación de fallas en los formularios de carga de archivos. Esta herramienta es capaz de detectar los tipos de archivos que se permiten subir y es capaz de detectar qué técnica funcionará mejor para subir los shells web o cualquier archivo malicioso en el servidor web deseado.
Instalación
Necesitarás Python 3.6 por lo menos.
git clone https://github.com/almandin/fuxploider.git
cd fuxploider
pip3 install -r requirements.txt
Si tienes problemas con pip (y si usas Windows aparentemente), ejecuta:
python3 -m pip install -r requirements.txt
Para la instalación de Docker
#Construye la imagen docker
docker build -t almandin/fuxploider .
Uso
Para obtener una lista de opciones básicas y parámetros, usa:
python3 fuxploider.py -h
Ejemplo básico:
python3 fuxploider.py --url https://servicioCargaArchivos.com --not-regex "wrong file type"
Ahora veamos un ejemplo en vivo utilizando uno de los servicios de esgeeks: anonfiles
python3 fuxploider.py --url https://anonfiles.com --not-regex "Thi file Type is Not Supported"
En la imagen anterior tomamos la URL de un servicio de carga de archivos (en este ejemplo, propiedad de esgeeks) y pasamos como parámetro el mensaje de error que muestra al subir un tipo de archivo no permitido. A continuación, se muestran los resultados.
Es responsabilidad del usuario final obedecer todas las leyes locales, estatales y federales aplicables. Los desarrolladores no asumen ninguna responsabilidad y no son responsables de ningún mal uso o daño causado por este programa
https://github.com/almandin/fuxploider