如何运用FUSE挖掘文件上传漏洞
发布时间:2021-12-14 11:35:41 所属栏目:安全 来源:互联网
导读:关于FUSE FUSE是一款功能强大的渗透测试安全工具,可以帮助广大研究人员在最短的时间内迅速寻找出目标软件系统中存在的文件上传漏洞。 FUSE本质上是一个渗透测试系统,主要功能就是识别无限制可执行文件上传(UEFU)漏洞。关于UEFU无限制可执行文件上传漏洞
|
关于FUSE FUSE是一款功能强大的渗透测试安全工具,可以帮助广大研究人员在最短的时间内迅速寻找出目标软件系统中存在的文件上传漏洞。 FUSE本质上是一个渗透测试系统,主要功能就是识别无限制可执行文件上传(UEFU)漏洞。关于UEFU无限制可执行文件上传漏洞的相关内容,可以参考这篇【文章】,该文章发表于NDSS2020。关于如何配置和执行FUSE,请参阅以下内容。 工具安装 当前版本的FUSE支持在Ubuntu 18.04和Python 2.7.15环境下工作。 首先,我们需要使用下列命令安装好FUSE正常运行所需的依赖组件: # apt-get install rabbitmq-server # apt-get install python-pip # apt-get install git 接下来,将该项目源码克隆至本地: $ git clone https://github.com/WSP-LAB/FUSE 扫描结果: 当FUSE完成了渗透测试任务之后,将会在当前工作目录下创建一个[HOST]目录和一个[HOST_report.txt]文件。 [HOST]文件夹中存储的是工具尝试上传的所有文件。 [HOST_report.txt]文件中包含了渗透测试的执行结果,以及触发了UEFU漏洞的相关文件信息。 漏洞CVE 如果你在号盗了UFU或UEFU漏洞,可以通过运行FUSE来获取相关漏洞的CVE编号信息: 应用程序 CVE Elgg CVE-2018-19172 ECCube3 CVE-2018-18637 CMSMadeSimple CVE-2018-19419, CVE-2018-18574 CMSimple CVE-2018-19062 Concrete5 CVE-2018-19146 GetSimpleCMS CVE-2018-19420, CVE-2018-19421 Subrion CVE-2018-19422 OsCommerce2 CVE-2018-18572, CVE-2018-18964, CVE-2018-18965, CVE-2018-18966 Monstra CVE-2018-6383, CVE-2018-18694 XE XEVE-2019-001 工具&论文引用 @INPROCEEDINGS{lee:ndss:2020, author = {Taekjin Lee and Seongil Wi and Suyoung Lee and Sooel Son}, title = {{FUSE}: Finding File Upload Bugs via Penetration Testing}, booktitle = {Proceedings of the Network and Distributed System Security Symposium}, year = 2020 } (编辑:源码网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
