都2024年了,还不会用AI来协助自己挖洞 / 渗透测试?
AI大模型已经出来这么久了,我日常在本职开发过程中已经基本离不开它了,CoPilot只能说是神器,最少提高了我30%以上的开发效率!
于是乎我把主意打到了挖洞上面,没道理它能提高我的开发效率,不能提升我的挖洞效率啊,我不相信(不允许!)会有这么不科学的事情发生。
0x01 Payload
SQL注入不会写?时间盲注会不了一点?直接GPT:
就问你们简单不简单,快不快?如果感兴趣的话,还能够顺便复习一下相关的知识,不感兴趣就直接用!
还不够?服务器有WAF,被拦截了? 继续问:
各种WAF绕过方式随便挑,还能给你解释为什么要这么写~
0x02 写脚本
Turbo Intruder的脚本太难了,不会Python怎么办?直接问!
给你安排得明明白白,不需要懂代码,直接复制粘贴就是一把梭。
其它任意需要写脚本的地方,都可以交给它!突出一个快字!
0x03 被拒绝了怎么办
但是有一些要求,由于GPT的限制,它并不会回答我们,比如我问:
它很有礼貌但是很坚定地拒绝了我!我不服气,又问了一次:
然而还是么得用,这时候就需要通过优化我们的Prompt(提示词)了,比如我修改了我的Prompt之后,然后再问了一遍:
bingo~这不就又解锁了新姿势。
Prompt主要是要绕过它的限制,所以需要定义场景,比如我们都是合法合规的测试,隔离的环境,符合道德规范等等,可以网上搜索,或者自己想一个,然后慢慢调试即可,花不了太多时间。
如果师傅们嫌麻烦不想去搜索或者自己训练Prompt,也可以公众号回复 “GPT”,获取我目前在用的Prompt,可以根据自己的需求进行修改。 注意:以上行为都是基于GPT4完成~
0x04 最后
现在AI发展得如此迅速,我在利用AI辅助之后,效率真的提升了不少,起码减少了大量查询资料的时间。还有很多其它的场景师傅们可以去发掘,但是需要注意鉴别它的回答真假,有时候它胡编乱造起来,是真的gou。
欢迎关注我的公众号“混入安全圈的程序猿 ”,更多原创技术文章第一时间推送