TOL-API 基于Token验证文件传输API安全工具
TOL-API
https://github.com/MartinxMax/tolapi
- 利用 API 產生檔案上傳/下載命令
- 基於 Token 的上傳/下載並具備時間驗證,防止安全問題
安裝
$ pip install -r requirements.txt
執行
$ python tolapi.py
複製 Auth-Code 作為你的身份驗證。
訪問:
http://127.0.0.1:5000
控制面板 (Dashboard)
控制面板分為 上傳 與 下載 區塊,提供具有限時 Token 的檔案傳輸。
這能確保不會出現任意檔案下載的問題。
下載 API
勾選需要下載的檔案,並設定有效下載時間(例如 60 秒)。
系統會自動生成對應的 Shell 下載命令。
powershell -c "Invoke-WebRequest -Uri 'http://192.168.206.128:5000/download_with_token/7b4b5f39c1274d1fa2b310cd0f6ae371' -OutFile 'EXPLOIT.txt'"
certutil -urlcache -split -f "http://192.168.206.128:5000/download_with_token/7b4b5f39c1274d1fa2b310cd0f6ae371" "EXPLOIT.txt"
curl -o "EXPLOIT.txt" "http://192.168.206.128:5000/download_with_token/7b4b5f39c1274d1fa2b310cd0f6ae371"
wget -O "EXPLOIT.txt" "http://192.168.206.128:5000/download_with_token/7b4b5f39c1274d1fa2b310cd0f6ae371"
複製並執行任意一條命令即可下載檔案。
只要 Token 在有效期內,下載即可成功。
上傳 API
範例:
$ uname -a > /tmp/sys.info
$ curl -X POST -F "file=@/tmp/sys.info" "http://192.168.206.128:5000/upload_with_token/38e435f8a45f4181b23b34057f550768"
回到 下載 頁面並刷新,即可看到已上傳的檔案。
若 Token 已過期,伺服器會回傳 403 Forbidden。
