2026-03-11 03:44:29 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文档介绍UploadRangerV1.0.2工具，专为检测文件上传漏洞设计，内置263种WAF绕过Payload，集成智能扫描、代理抓包、重放与爆破功能。新版支持配置持久化与代理过滤，提供跨平台安装及证书配置指南。该工具能辅助安全人员高效定位上传漏洞并验证绕过技术，具备较强实战操作性，是渗透测试的有力辅助。 综合评分： 80 文章分类： 渗透测试,安全工具,WEB安全,漏洞POC

cover_image

一款超强上传漏洞综合测试工具 263 + WAF 绕过Payload（2026-03-09）更新

Gentle-bae Gentle-bae

渗透安全HackTwo

2026年3月11日 00:01 广东

0x01 工具介绍

UploadRangerV1.0.2 是一款专业级文件上传漏洞检测工具，内置263+ 种 WAF 绕过 Payload，覆盖文件后缀、Content-Type、文件结构、双文件等主流绕过姿势。工具集智能扫描、HTTP/HTTPS 代理、Repeater 重放、Intruder 爆破于一体，支持 Webshell 与 Polyglot 生成，带可视化 GUI 与暗色主题，一键检测上传点、分析响应、定位漏洞，是渗透测试与安全研究人员的实战利器。

注意：现在只对常读和星标的公众号才展示大图推送，建议大家把渗透安全HackTwo“设为星标⭐️“否则可能就看不到了啦！

下载地址在末尾 #渗透安全HackTwo

0x02 功能介绍

✨主要功能

🤖 智能扫描：自动检测上传点，分析响应内容

代理抓包：内置 HTTP/HTTPS 代理，支持拦截、修改、重放

Repeater：手动重放请求，调试绕过技术

Intruder：自动化爆破，支持多种攻击模式

263+ 绕过技术：支持各种文件类型绕过、Content-Type 绕过、WAF 绕过等

Payload生成器：支持WebShell、Polyglot等多种载荷生成

0x04 更新介绍

✨ 新增功能 & 优化配置持久化:新增&nbsp;ConfigManager&nbsp;配置管理器，支持&nbsp;JSON&nbsp;格式配置文件。代理设置（地址、端口、拦截状态）自动保存和恢复，重启后无需重新配置。配置文件存储在用户目录 ~/.uploadranger/config.json。
代理历史记录过滤增强:添加过滤启用/禁用开关，避免无过滤时执行过滤逻辑。实现 300ms 防抖过滤，避免输入时频繁触发重绘。添加过滤统计信息，实时显示"已显示 X / 总计 Y 条"。

0x04 使用介绍

📦安装指南

Python 3.8+
Windows / Linux / macOS

安装依赖

pip install -r&nbsp;requirements.txt

运行程序

python&nbsp;main.py

智能扫描

在左侧输入目标 URL
选择扫描模式（快速/标准/深度）
点击”开始扫描”
查看扫描结果和漏洞详情

代理抓包

切换到”代理”标签页
点击”启动代理”按钮
将浏览器代理设置为 127.0.0.1:8080

首次使用 HTTPS 抓包必须安装证书！

启动代理后，浏览器访问 http://mitm.it（非 HTTPS）；
点击 Windows 图标下载 mitmproxy-ca-cert.p12 证书；
双击证书打开导入向导，选 “当前用户”→ 密码留空→ 下一步；
勾选 “将所有证书放入下列存储”，浏览选择 “受信任的根证书颁发机构”；
确认后完成导入，安全警告点 “是”；
重启浏览器，HTTPS 抓包生效。

#

0x05 内部VIP星球介绍-V1.5（福利）

如果你想学习更多渗透测试技术/应急溯源/免杀工具/挖洞SRC赚取漏洞赏金/红队打点等欢迎加入我们内部星球可获得内部工具字典和享受内部资源和内部交流群，每天更新1day/0day漏洞刷分上分(2026POC更新至5522+)，包含全网一些付费扫描工具及内部原创的Burp自动化漏洞探测插件/漏扫工具等，AI代审工具，最新挖洞技巧等。shadon/Hunter/0zone/Zoomeye/Quake/Fofa高级会员/AI账号/CTFShow等各种账号会员共享。详情点击下方链接了解，觉得价格高的师傅后台回复” 星球 “有优惠券名额有限先到先得❗️啥都有❗️全网资源最新最丰富❗️**（🤙截止目前已有2500+多位师傅选择加入❗️早加入早享受）

最新漏洞情报分享：https://t.zsxq.com/VuWGw

👉点击了解加入–>>内部VIP知识星球福利介绍V1.5版本-1day/0day漏洞库及内部资源更新

结尾

免责声明

获取方法

公众号回复20260311获取下载

最后必看-免责声明

文章中的案例或工具仅面向合法授权的企业安全建设行为，如您需要测试内容的可用性，请自行搭建靶机环境，勿用于非法行为。如用于其他用途，由使用者承担全部法律及连带责任，与作者和本公众号无关。本项目所有收录的poc均为漏洞的理论判断，不存在漏洞利用过程，不会对目标发起真实攻击和漏洞利用。文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用。如您在使用本工具或阅读文章的过程中存在任何非法行为，您需自行承担相应后果，我们将不承担任何法律及连带责任。本工具或文章或来源于网络，若有侵权请联系作者删除，请在24小时内删除，请勿用于商业行为，自行查验是否具有后门，切勿相信软件内的广告！

往期推荐

1.内部VIP知识星球福利介绍V1.5（AI自动化）

2.CS4.8-CobaltStrike4.8汉化+插件版

3.全新升级BurpSuite2026.2专业(稳定版)

4.最新xray1.9.11高级版下载Windows/Linux

5.最新HCL AppScan Standard

渗透安全HackTwo

微信号：关注公众号获取

后台回复星球加入：知识星球

扫码关注了解更多

上一篇文章：Nacos配置文件攻防思路总结|揭秘Nacos被低估的攻击面

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：渗透安全HackTwo Gentle-bae Gentle-bae《一款超强上传漏洞综合测试工具 263 + WAF 绕过Payload（2026-03-09）更新》