ChatGPT Tabanlı Otomatik Sızma Testi Aracı

   Temmuz 17, 2023  Posted in CyberSecurityNews


PentestGPT

Cyber ​​Security News, sızma testi uzmanlarının sızma testi süreçlerini otomatikleştirmelerine yardımcı olan yeni bir “PentestGPT” aracı buldu ve ChatGPT buna güç veriyor.

Doktora GitHub’da “GreyDGL” altında faaliyet gösteren Nanyang Technological University öğrencisi, kısa süre önce ChatGPT destekli “Penetration Testing Tool” adlı yeni bir ChatGPT aracı yayınladı.PentestGPT

OpenAI tarafından ilk kez piyasaya sürüldükten sonra ChatGPT, olağanüstü ilerlemeleri ve olasılıkları sayesinde hızla büyük bir ün ve kullanıcı tabanı elde etti.

Öncelikle ChatGPT, aşağıda bahsettiğimiz iki temel yetenek nedeniyle geniş bir kullanıcı tabanının dikkatini çekti: –

  • İnsan benzeri konuşmalar yapın
  • Yararlı bilgiler sağlayın

PentestGPT ChatGPT Tabanlı Sızma Testi Aracı

Bu PentestGPT aracı tamamen ChatGPT’ye dayalıdır ve sızma testi yapanların sızma testi sırasında yer alan çeşitli karmaşık prosedürleri gerçekleştirmesine yardımcı olur.

Ayrıca, yüksek kaliteli muhakeme için PentestGPT Aracı tamamen OpenAI’nin GPT-4 modülüne bağlıdır.

Yani, erişmek istiyorsanız PentestGPT Aracı, GPT-4 API henüz halka ücretsiz olarak sunulmadığından ChatGPT Plus üyeliğini satın almalı veya abone olmalısınız.

Ayrıca PentestGPT Aracı, yüksek kaliteli muhakeme için nihai olarak OpenAI’nin GPT-4 modülüne bağlıdır.

Bu nedenle, PentestGPT Aracına erişmek istiyorsanız, GPT-4 API’si henüz halka ücretsiz olarak sunulmadığından, ChatGPT Plus üyeliği satın almalı veya abone olmalısınız.

PentestGPT Tasarımı

PetestGPT mimarisinin tamamı buradadır ve mevcut tasarım esas olarak web penetrasyon testi.

PentestGPT
PentestGPT mimarisi

Genel tasarım

  • Kullanıcıların yürütmesi için kesin penetrasyon testi komutları veya işlemleri üreten bir test oluşturma modülü.
  • Bir test muhakeme modülü, testin mantığını yürütür ve penetrasyon test uzmanlarına bundan sonra ne yapacakları konusunda rehberlik eder.
  • Penetrasyon araçlarının çıktısını ve webUI’deki içeriği ayrıştıran bir ayrıştırma modülü.

Mantık Akışı Tasarımı

  1. Kullanıcı tüm oturumları başlatır. (çabuk)
  2. Kullanıcı görevi şu şekilde başlatır:
    1. kullanıcı hedef bilgileri sağlar Muhakeme Oturumu.
    2. bu Muhakeme Oturumu oluşturur görev ağacı hedef bilgilerine göre.
    3. bu Muhakeme Oturumu ilk yapılacak işe karar verir ve bilgiyi Üretim Oturumu.
    4. bu Üretim Oturumu kullanıcının yürütmesi için kesin komutu üretir ve bunu kullanıcıya iletir. kullanıcı.

Fonksiyon Tasarımı

İşleyici, sızma testi aracının ana giriş noktasıdır. Sızma testçilerinin aşağıdaki işlemleri gerçekleştirmesine izin verir:

  1. (önceden tasarlanmış bazı istemlerle kendisini başlatır.)
  2. Hedef bilgileri sağlayarak yeni bir penetrasyon testi oturumu başlatın.
  3. Yapılacaklar listesi isteyin ve gerçekleştirmek için bir sonraki adımı edinin.
  4. İşlemi tamamladıktan sonra bilgileri PentestGPT’ye iletin.
  5. Üretim modülü, kullanıcının belirli bir görevi derinlemesine incelemesine yardımcı olan sürekli bir mod da başlatabilir.

Tüm mimari ayrıntılarını buradan GitHub’da okuyabilirsiniz.

İşte GreyDGL’nin belirttiği şey: –

“PentestGPT aracı, ChatGPT üzerine inşa edildiğinden, etkileşimli penetrasyon testini sorunsuz bir şekilde otomatik hale getirerek, devam eden ve operasyonlardaki test uzmanlarına rehberlik ediyor.”

Sadece bu da değil, PentestGPT bile aşağıdaki zorlukları kolayca düzeltebilir:-

  • HackTheBox makinelerinin zorlukları
  • CTF zorlukları

İşte GreyDGL tarafından PentestGPT’nin hızlı video gösterimi: –

PentestGPT’nin 3 Modülü

Aşağıda, üç modülden bahsettik. PentestGPT:-

  • Test oluşturma modülü
  • Test muhakeme modülü
  • Ayrıştırma modülü

PentestGPT’nin İşlevleri

  • İlk durumu ayarlamak için önceden tasarlanmış bilgi istemlerini kullanarak sistemi başlatın.
  • Hedef bilgilerini girerek yeni bir penetrasyon testi oturumu başlatır.
  • Sızma testi sırasında gerçekleştirilecek bir sonraki adımı veya eylemi sağlayacak olan yapılacaklar listesini isteyin.
  • Yapılacaklar listesinden atanan işlemi veya görevi gerçekleştirin.
  • İşlem tamamlandıktan sonra, daha fazla analiz için aşağıdaki ilgili verileri PentestGPT’ye aktarın:-
  • Takım çıktısı
  • Web sayfası içeriği
  • İnsan tanımı

Kurulum

PentestGPT Kurulumu
  • “pip install -r gereksinimleri.txt” komutunu çalıştırarak, gereksinimler.txt’yi yüklemeniz gerekir.
  • Ardından, yapılandırma dosyasında çerezleri yapılandırmanız ve bunu yapmanız gerekir:
  • A. “cp config/chatgpt_config_sample.py config/chatgpt_config.py” komutunu çalıştırarak örnek yapılandırma dosyasını kopyalayın.
  • B. Çerez kullanıyorsanız, ChatGPT oturum sayfasında oturum açın.
  • C. İnceleme aracını açın ve Ağ sekmesine gidin.
  • D. ChatGPT oturum sayfasına bağlantı arayın.
  • e. Çerezi “https://chat.openai.com/api/auth/session” URL’sinin istek başlığında bulun.
  • F. Çerez değerini kopyalayın.
  • G. Kopyalanan çerezi “config/chatgpt_config.py” dosyasının “cookie” alanına yapıştırın.
  • H. Yapılandırma dosyasındaki diğer alanların, ChatGPT sayfası güncellemesi nedeniyle geçici olarak kullanımdan kaldırıldığını unutmayın.
  • “config/chatgpt_config.py” dosyasındaki “userAgent” alanını kullanıcı aracınızla doldurun.
  • API kullanıyorsanız, “chatgpt_config.py” dosyasındaki OpenAI API anahtarını girin.
  • Şimdi bağlantının doğru yapılandırıldığını doğrulamak için “python3 test_connection.py” komutunu çalıştırın.
  • Ardından ChatGPT ile örnek sohbetler arayın.

Örnek Çıktı:

1. ChatGPT Plus tanımlama bilgisi ile bağlandınız.

PentestGPT’yi başlatmak için lütfen şunu kullanın:

## OpenAI api (GPT-4) için test bağlantısı

2. OpenAI API ile bağlandınız. GPT-4 erişiminiz var. PentestGPT’yi başlatmak için lütfen şunu kullanın:

## OpenAI api (GPT-3.5) için test bağlantısı

3. OpenAI API ile bağlandınız. GPT-3.5 erişiminiz var. PentestGPT’yi başlatmak için lütfen şunu kullanın:

## OpenAI api için test bağlantısı (GPT-3.5 16k belirteçleri)

3. OpenAI API ile bağlandınız. GPT-3.5 erişiminiz var. PentestGPT’yi başlatmak için lütfen şunu kullanın:

Hatalar devam ederse sayfayı yenilemeniz, adımları tekrarlamanız ve yeniden denemeniz gerekir. Gerekirse, “https://chat.openai.com/backend-api/conversations” adresindeki çerezi de kullanabilirsiniz. Tam modülü burada bulabilirsiniz.

Sıkça Sorulan Sorular

PentestGPT nedir?

PentestGPT, ChatGPT’nin desteklediği bir penetrasyon testi aracıdır. Sızma testi sürecini kolaylaştırmak için yapılmıştır. ChatGPT üzerine inşa edilmiştir ve penetrasyon test uzmanlarına genel ilerleme ve belirli işlemler konusunda yardımcı olmak için etkileşimli bir şekilde çalışır.

PentestGPT’yi kullanmak için ChatGPT plus üyesi olmam gerekir mi?

ChatGPT plus veya GPT-4 API, kullanmanız gerekenlerdir. Gelişmiş muhakeme için PentestGPT, GPT-4 modelini kullanır. Şu anda herkese açık bir GPT-4 API’si olmadığından, PentestGPT’nin bir ChatGPT oturumundan faydalanmasını sağlamak için bir sarmalayıcı sağlanmıştır. Varsa GPT-4 API doğrudan kullanılabilir.



Source link