/OSSFileBrowse

存储桶遍历漏洞利用工具

Primary LanguageJava

简介

由于经常遇到存储桶遍历漏洞,直接访问文件是下载,不方便预览,且甲方要求证明该存储桶的危害,,因此该工具应运而生。

更新日志

2024.07.25 v1.1版本

1.新增选择文件查看功能,通过treeview和treeitem实现; #3

2.修改允许后缀显示的逻辑、allow.extensions值是null时,可加载所有文件。

2024.05.24 v1.0版本

1.加载存储桶上所有资源,通过按钮去查看文件

2.可自定义kkfileview的地址、可指定查看的文件后缀值allow.extensions

技术

使用javafx做图形化,kkFileView做文件预览接口。

使用

命令行运行java -Dfile.encoding=UTF-8 -jar OSSFileBrowse-1.0-SNAPSHOT.jar、或者直接点击run.bat文件。 直接运行,如果存储桶上有中文,则会提示漏洞不存在。

先点击加载按钮,此时会爬取存储桶上的全部资源,等待几秒后,左边的webView将会通过kkFilewView去渲染文件资源。

按钮下一个将会切换到下一个存储桶资源、按钮上一个将会返回到上一个资源。

注意

config.properties

修改allow.extensions的值,即可添加可支持的文件类型进行预览。

修改kkFileView_URL的值,即可将kkFileView修改成自己的kkfileview。 默认是使用官方的kkfileview地址。

最后

如果该项目对你有帮助,给一个小小的star吧。