学习xss的时候翻阅资料发现了一个文件上传漏洞fuzz字典生成脚本小工具，试了试还不错，分享一下

需要python2环境

工具地址: https://github.com/c0ny1/upload-fuzz-dic-builder

$ python upload-fuzz-dic-builder.py -h
usage: upload-fuzz-dic-builder [-h] [-n] [-a] [-l] [-m] [--os] [-d] [-o]
optional arguments:
  -h, --help            show this help message and exit
  -n , --upload-filename
                        Upload file name
  -a , --allow-suffix   Allowable upload suffix
  -l , --language       Uploaded script language
  -m , --middleware     Middleware used in Web System
  --os                  Target operating system type
  -d, --double-suffix   Is it possible to generate double suffix?
  -o , --output         Output file
上传文件名（-n），允许的上传的后缀（-a），后端语言（-l），中间件(-m),操作系统（–os），是否加入双后缀（-d）以及输出的字典文件名（-o）。我们可以根据场景来生成合适的字典，提供的信息越详细，脚本生成的字典越精确。
 
python upload-fuzz-dic-builder.py -l php -m apache --os win
然后用burpsuite抓包，放入intreder模块，选择上一步生成的字典，选择枚举的位置
 
 
注意:如图模块不用勾选
 
 
最后:start attack即可，观察跑的结果，进行进一步利用
 
 
最后个人想法
 
可以自定义中间件，后端语言，系统，来生成fuzz，要是手工测试的会很累，精确的还行，就是跑的还是蛮多的，对服务器还是有影响，我本地跑的，生成了很多的图片，所以肯定没有手工注入准确，最后，这个工具还是很不错的，感觉可以的可以尝试一下。

					
3kafka学习笔记之架构详解
					
4Python自学真的可以学好嘛？赠送Python编程快速上手电子书籍一本
					
5python：用python断你的网，没商量！领取python基础项目练习题
					
6Python性能分析与优化PDF高清完整版免费下载|百度云盘
					
7教你在 Linux 下时光穿梭
					
8Python学习教程 不走弯路 提高效率！学霸都在用
					
9Python编程初学者指南PDF文档免费下载
					
10用​python做一个简单逻辑的游戏——剪刀石头布