LFI-SPACE:一款功能强大的本地文件包含LFI漏洞扫描工具
2023-6-18 10:27:39 Author: FreeBuf(查看原文) 阅读量:17 收藏

 关于LFI-SPACE 

LFI-SPACE是一款功能强大的本地文件包含LFI漏洞扫描工具,该工具不仅功能强大的,而且运行效率也非常高,旨在帮助广大研究人员在目标Web应用程序中扫描和识别本地文件包含LFI漏洞。该工具主要通过两种不同的方法简化了识别潜在安全缺陷的过程:即Google Dork Search和Targeted URL Scan。凭借其全面的方法,LFI-SPACE能够帮助安全专业人员和渗透测试人员评估目标Web应用程序的安全态势。

除此之外,LFI-SPACE还提供了针对目标URL的扫描功能,用户可以手动输入指定的URL(列表)并进行扫描。这种具有针对性的方法可以有效地提升安全扫描任务的灵活性和准确性。

凭借其用户友好的界面和全面的扫描功能,LFI-SPACE是增强网络应用程序安全态势的宝贵资产。

Google Dork Search

该技术会查询Google搜索引擎,并寻找可能易受LFI攻击的Web页面,然后分析这些页面的响应,以确认是否存在LFI漏洞。

Targeted URL Scan

该技术支持接受URL列表作为输入参数,并能够扫描每一个URL以查找LFI漏洞。该功能可以帮助广大研究人员评估感兴趣的特定Web应用程序或页面。

 工具安装 

由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好Python 3环境。接下来,广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/capture0x/Lfi-Space/

在命令行终端中切换到项目目录,并使用pip3命令和项目提供的requirements.txt安装该工具所需的依赖组件:

cd Lfi-Space
pip3 install -r requirements.txt

 工具使用 

python3 lfi.py

 Docker列表 

项目提供了一个Docker列表,位于lfi2.txt文件中:

inurl:/filedown.php?file=
inurl:/news.php?include=
inurl:/view/lang/index.php?page=?page=
inurl:/shared/help.php?page=
inurl:/include/footer.inc.php?_AMLconfig[cfg_serverpath]=
inurl:/squirrelcart/cart_content.php?cart_isp_root=
inurl:index2.php?to=
inurl:index.php?load=
inurl:home.php?pagina=
/surveys/survey.inc.php?path=
index.php?body=
/classes/adodbt/sql.php?classes_dir=
enc/content.php?Home_Path=

 工具运行截图 

 工具使用演示视频 

视频地址:

https://youtu.be/rpcGqwZU2As

 许可证协议 

本项目的开发与发布遵循Apache-2.0开源许可证协议。

 项目地址 

LFI-SPACE

https://github.com/capture0x/Lfi-Space

https://www.instagram.com/tmrswrr/



文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651228657&idx=4&sn=5b2879f7e758589191e72a5671f88980&chksm=bd1d1b7a8a6a926c1def1a6f93b111c6aa6f08bb2199782215b245d55e4a5a76ccaaf74e98f4#rd
如有侵权请联系:admin#unsafe.sh