推荐开源项目：FDsploit - 文件包含与目录遍历神器

FDsploit 是一款强大的自动化工具，专注于检测和利用文件包含（Local/Remote File Inclusion, LFI/RFI）以及目录遍历漏洞。它由 Python 编写，旨在为安全研究人员提供一个高效且易于使用的平台来测试 Web 应用的安全性。

项目技术分析

FDsploit 的核心功能包括：

• 自动化发现 LFI 和 RFI 漏洞
• 支持简单、期望式和输入型三种 LFI 虚拟Shell，让漏洞利用更加灵活
• 两种请求类型（GET 和 POST）的兼容
• 自动生成和检查 GET 参数
• 使用通配符进行模糊测试
• 支持指定会话Cookie
• 可选的RCE检测，通过PHP函数执行命令
• 内置SHA-256哈希以识别潜在漏洞
• 支持URL编码和Base64编码

FDsploit 还具备智能识别不同类型的漏洞迹象，如响应的内容长度变化或特定关键字出现，从而提高测试准确性。

项目应用场景

1. 安全审计：在对网站进行安全评估时，FDsploit 可快速扫描可能存在的 LFI 或 RFI 漏洞。
2. 教育培训：对于网络安全初学者，FDsploit 提供了实战学习的机会，了解如何查找和利用这些漏洞。
3. 开发者自检：开发者可以使用 FDsploit 对自己的 Web 应用来做内部测试，确保应用安全性。

项目特点

• 易于使用: 简单的命令行界面，只需几步就能启动扫描。
• 多样的Shell支持: 用户可以选择简单、期望式或输入型LFI Shell，满足不同利用需求。
• 深度检测: 自定义最大遍历深度，深入查找深层的漏洞。
• 定制化: 支持自定义请求参数、关键词搜索，甚至指定PHP函数进行RCE测试。

示例演示

1. 目录遍历漏洞检测： 利用 FDsploit 发现目录遍历漏洞，当directory参数配合../产生不同的响应哈希和内容长度时，表明可能存在漏洞。

2. LFI漏洞检测： 找到可利用的LFI漏洞，通过指定language参数并探测/etc/passwd等敏感文件，若返回结果包含预期关键词，说明存在漏洞。

3. LFI Shell利用： 利用 simple Shell 实时读取系统文件，进行交互式操作。

获取与贡献

FDsploit 遵循 GPL v3 许可，可在GitHub上找到源代码，并可以通过 pip install -r requirements.txt --upgrade --user 安装所有依赖项。欢迎提供反馈和贡献，共同推动该项目的发展。

记住，仅在合法授权的情况下使用此工具，遵守当地法律法规。

前往FDsploit GitHub仓库

---

使用 FDsploit，让你的网络安全测试更上一层楼。立即尝试这个利器，发掘隐藏在网络深处的安全问题吧！