一款超强上传漏洞综合测试工具 263 + WAF 绕过Payload(2026-03-09)更新

0x01 工具介绍

UploadRangerV1.0.2 是一款专业级文件上传漏洞检测工具,内置263+ 种 WAF 绕过 Payload,覆盖文件后缀、Content-Type、文件结构、双文件等主流绕过姿势。工具集智能扫描、HTTP/HTTPS 代理、Repeater 重放、Intruder 爆破于一体,支持 Webshell 与 Polyglot 生成,带可视化 GUI 与暗色主题,一键检测上传点、分析响应、定位漏洞,是渗透测试与安全研究人员的实战利器。

更多工具获取地址:https://docs.qq.com/sheet/DWE1hQXRyWVZ2dmpB?tab=BB08J2

0x02 功能介绍

✨主要功能

🤖智能扫描:自动检测上传点,分析响应内容

代理抓包:内置 HTTP/HTTPS 代理,支持拦 截、修改、重放

Repeater:手动重放请求,调试绕过技术

Intruder:自动化爆破,支持多种攻击模式

263+ 绕过技术:支持各种文件类型绕过、Content-Type 绕过、WAF 绕过等

Payload生成器:支持WebShell、Polyglot等多种载荷生成

0x04 更新介绍

✨ 新增功能 & 优化 配置持久化: 新增 ConfigManager 配置管理器,支持 JSON 格式配置文件。 代理设置(地址、端口、拦截状态)自动保存和恢复,重启后无需重新配置。 配置文件存储在用户目录 ~/.uploadranger/config.json。 代理历史记录过滤增强: 添加过滤启用/禁用开关,避免无过滤时执行过滤逻辑。 实现 300ms 防抖过滤,避免输入时频繁触发重绘。 添加过滤统计信息,实时显示"已显示 X / 总计 Y 条"。

0x04 使用介绍

📦安装指南

  • Python 3.8+

  • Windows / Linux / macOS

安装依赖

pip install -r requirements.txt

运行程序

python main.py

智能扫描

  • 在左侧输入目标 URL

  • 选择扫描模式(快速/标准/深度)

  • 点击"开始扫描"

  • 查看扫描结果和漏洞详情

代理抓包

  • 切换到"代理"标签页

  • 点击"启动代理"按钮

  • 将浏览器代理设置为127.0.0.1:8080

首次使用 HTTPS 抓包必须安装证书!

  • 启动代理后,浏览器访问 http://mitm.it(非 HTTPS);

  • 点击 Windows 图标下载 mitmproxy-ca-cert.p12 证书;

  • 双击证书打开导入向导,选 “当前用户”→ 密码留空→ 下一步;

  • 勾选 “将所有证书放入下列存储”,浏览选择 “受信任的根证书颁发机构”;

  • 确认后完成导入,安全警告点 “是”;

  • 重启浏览器,HTTPS 抓包生效。

​​​​​​​下载地址

访问原文地址在末尾获取下载地址​​​​​​​

https://mp.weixin.qq.com/s/uyWL1X43l86Zy1NtcZTKWA