探索黑暗中的文件上传与LFI漏洞：psychoPATH工具推荐

探索黑暗中的文件上传与LFI漏洞：psychoPATH工具推荐

psychoPATH psychoPATH - an advanced path traversal tool. Features: evasive techniques, dynamic web root list generation, output encoding, site map-searching payload generator, LFI mode, nix & windows support, single byte generator, payload export. 项目地址: https://gitcode.com/gh_mirrors/ps/psychoPATH

项目介绍

psychoPATH是一款专为检测盲文件上传和本地文件包含（LFI）漏洞而设计的工具。它由Julian H.开发，现已在Burp App Store上架。psychoPATH不仅是一个高度可配置的payload生成器，还集成了先进的目录遍历规避技术、动态Web根目录列表生成、输出编码、站点地图搜索payload生成器、LFI模式、Unix与Windows支持以及单字节生成器等功能。

项目技术分析

psychoPATH的核心功能在于其强大的payload生成能力。它通过动态生成潜在的Web根目录路径，结合路径遍历技术，能够有效检测出大多数扫描器和payload集无法发现的漏洞。此外，psychoPATH还提供了多种输出编码选项，确保生成的payload能够适应不同的应用环境。

工具内置的“Directory checker”payload生成器不仅限于文件上传检测，还可用于选择性入侵内容发现或检查每个目录允许的HTTP方法。psychoPATH还扩展了Burp Intruder，提供了四个payload生成器，进一步增强了其功能性。

项目及技术应用场景

psychoPATH适用于以下几种场景：

1. 本地文件包含（LFI）漏洞检测：通过路径遍历技术，psychoPATH能够检测出那些对路径遍历过滤不严的LFI漏洞。
2. Web根目录文件上传检测：无论是上传目录位于Web根目录内还是外，psychoPATH都能通过路径遍历技术检测出潜在的文件上传漏洞。
3. 隐藏目录文件上传检测：对于那些上传目录未被应用程序明确链接的情况，psychoPATH能够通过站点地图搜索payload生成器，发现隐藏的文件上传点。

项目特点

1. 高度可配置：psychoPATH提供了丰富的配置选项，用户可以根据具体需求定制payload生成策略。
2. 先进的规避技术：工具集成了多种路径遍历规避技术，能够有效绕过常见的安全过滤机制。
3. 多平台支持：psychoPATH支持Unix和Windows系统，确保在不同环境下都能发挥作用。
4. 扩展性强：通过扩展Burp Intruder，psychoPATH不仅限于文件上传和LFI检测，还可用于其他入侵测试任务。
5. 详细的文档支持：项目提供了详细的usage_examples.pdf，帮助用户快速上手并掌握高级用法。

psychoPATH是一款功能强大且灵活的工具，无论是安全研究人员还是渗透测试人员，都能从中受益。如果你正在寻找一款能够深入挖掘文件上传和LFI漏洞的工具，psychoPATH绝对值得一试。

psychoPATH psychoPATH - an advanced path traversal tool. Features: evasive techniques, dynamic web root list generation, output encoding, site map-searching payload generator, LFI mode, nix & windows support, single byte generator, payload export. 项目地址: https://gitcode.com/gh_mirrors/ps/psychoPATH