ChatGPT Destekli Otomatik Sızma Testi Aracı

   Mayıs 4, 2023  Posted in GBHackers


PentestGPT

GBHacker’lar, “PentestGPT” adlı, ChatGPT destekli yeni bir Sızma testi Aracı ile karşılaşırlar ve bu, sızma testi uzmanlarının sızma işlemlerini otomatikleştirmelerine yardımcı olur.

PentestGPT, GitHub’da Ph.D. “GreyDGL” operatörü altında yayınlandı. Nanyang Teknoloji Üniversitesi, Singapur’da öğrenci.

ChatGPT üzerine inşa edilmiştir ve genel ve özel prosedürler sırasında penetrasyon test uzmanlarını yönlendirmek için etkileşimli bir şekilde çalışır.

PentestGPT Aracına erişmek için ChatGPT plus üyesi gereklidir, çünkü yüksek kaliteli muhakeme için GPT-4 modeline dayanır ve ayrıca henüz herkese açık bir GPT-4 API’si yoktur. PentestGPT’yi desteklemek için ChatGPT oturumları için bir sarmalayıcı eklendi.

GreyDGL’ye göre, “Sızma testi sürecini otomatikleştirmek için tasarlanmıştır. ChatGPT üzerine inşa edilmiştir ve penetrasyon test uzmanlarına hem genel ilerlemede hem de belirli operasyonlarda rehberlik etmek için etkileşimli bir modda çalışır.”

PentestGPT, basitten orta düzeye HackTheBox makinelerini ve diğer CTF bulmacalarını çözebilir. Bu örneği, TEMPLATED HackTheBox mücadelesinin üstesinden gelmek için kullandığımız materyallerde keşfedebilirsiniz.

Örnek test sürecini buradan kontrol edebilirsiniz. PentestGPT hedef bir VulnHub makinesinde (Hackable II).

PentestGPT Demosu:

Burada, pentestçilerin PentestGPT’yi ne kadar etkili bir şekilde kullanabilecekleri hakkında GreyDGL tarafından gösterilen hızlı bir video.

Kurulum:

Kurulum

  1. Düzenlemek requirements.txt ile pip install -r requirements.txt
  2. Çerezleri şurada yapılandırın: config. Bir örneği takip edebilirsiniz cp config/chatgpt_config_sample.py config/chatgpt_config.py. Çerez kullanıyorsanız:
    • ChatGPT oturum sayfasına giriş yapın.
    • İçinde Inspect - NetworkChatGPT oturum sayfasına bağlantıları bulun.
    • İçindeki çerezi bulun istek başlığı talepte https://chat.openai.com/api/auth/session ve içine yapıştırın cookie alanı config/chatgpt_config.py. (Inspect->Network’ü kullanarak oturumu bulabilir ve kopyalayabilirsiniz. cookie alan request_headers ile https://chat.openai.com/api/auth/session)
    • ChatGPT sayfasının güncellenmesi nedeniyle diğer alanların geçici olarak kullanımdan kaldırıldığını unutmayın.
    • Doldurun userAgent kullanıcı aracınızla.
    • API kullanıyorsanız:
      • OpenAI API anahtarını doldurun chatgpt_config.py.
  3. Bağlantının doğru şekilde yapılandırıldığını doğrulamak için çalıştırabilirsiniz. python3 test_connection.py. ChatGPT ile bazı örnek konuşmalar görmelisiniz. çıktı aşağıdadır.1. You're connected with ChatGPT Plus cookie. To start PentestGPT, please use ## Test connection for OpenAI api (GPT-4) 2. You're connected with OpenAI API. You have GPT-4 access. To start PentestGPT, please use ## Test connection for OpenAI api (GPT-3.5) 3. You're connected with OpenAI API. You have GPT-3.5 access. To start PentestGPT, please use
  4. (Uyarı) Çerez için yukarıdaki doğrulama işlemi. Birkaç denemeden sonra hatayla karşılaşırsanız, lütfen sayfayı yenilemeyi deneyin, yukarıdaki adımları tekrarlayın ve tekrar deneyin. Çerez ile de deneyebilirsiniz https://chat.openai.com/backend-api/conversations. Herhangi bir sorunla karşılaşırsanız lütfen bir sorun gönderin.

PentestGPT İşlevi:

İşleyici, sızma testi aracının ana giriş noktasıdır. Sızma testçilerinin aşağıdaki işlemleri gerçekleştirmesine izin verir:

  1. (önceden tasarlanmış bazı istemlerle kendisini başlatır.)
  2. Hedef bilgileri sağlayarak yeni bir penetrasyon testi oturumu başlatın.
  3. Yapılacaklar listesi isteyin ve gerçekleştirmek için bir sonraki adımı edinin.
  4. İşlemi tamamladıktan sonra bilgileri PentestGPT’ye iletin.
    • Bir araç çıktısını geçirin.
    • Bir web sayfası içeriğini iletin.
    • Bir insan tanımını iletin.

PentestGPT ile eklenen 3 adet modül bulunmaktadır.

  • Test oluşturma modülü – kullanıcıların yürütmesi için tam penetrasyon testi komutları veya işlemleri oluşturur.
  • Test muhakemesi modülü – testin mantığını yürüterek penetrasyon test uzmanlarına bundan sonra ne yapacakları konusunda rehberlik eder.
  • Ayrıştırma modülü – penetrasyon araçlarının çıktısını ve webUI üzerindeki içeriği ayrıştırır.

Ayrıntıların tamamını burada GitHub’da ve en iyi 30 penetrasyon testi aracında okuyabilirsiniz.

Güvenlik Düzeltme Eki’ni Sisteminize Uygulamakta Zorlanıyor Musunuz? –
All-in-One Patch Manager Plus’ı Deneyin

DÖRT



Source link