GBHackers encontram uma nova ferramenta de teste de penetração com tecnologia ChatGPT chamada “PentestGPT” que ajuda os testadores de penetração a automatizar suas operações de pentesting.
PentestGPT foi lançado no GitHub sob o operador “CinzaDGL”, um Ph.D. estudante em Universidade Tecnológica de NanyangSingapura.
Ele é construído sobre ChatGPT e funciona de forma interativa para direcionar os testadores de penetração durante procedimentos gerais e particulares.
Para acessar o Ferramenta PentestGPT, O membro ChatGPT plus é necessário, pois depende do GPT-4 modelo para raciocínio de alta qualidade, também nenhum público GPT-4 API ainda.
Para suportar PentestGPT, um wrapper para Sessões ChatGPT foi adicionado.
De acordo com GreyDGL, “Ele foi projetado para automatizar o processo de teste de penetração.
Ele é construído com base no ChatGPT e opera em modo interativo para orientar os testadores de penetração tanto no progresso geral quanto em operações específicas.”
PentestGPT é capaz de resolver máquinas HackTheBox simples a moderadas, bem como outras Quebra-cabeças CTF.
Você pode descobrir este exemplo no materiais costumávamos abordar o TEMPLADO Desafio HackTheBox.
Você pode verificar aqui o processo de teste de amostra de PentestGPT em uma máquina VulnHub de destino (Hackable II).
Demonstração do PentestGPT:
Aqui está um vídeo rápido demonstrado por GreyDGL sobre como os pentesters podem usar o PentestGPT de maneira eficaz.
Instalação:
Instalação
- Instale requisitos.txt com pip install -r requisitos.txt
- Configure os cookies em config. Você pode seguir um exemplo em cp config/chatgpt_config_sample.py config/chatgpt_config.py. Se você estiver usando cookies:
- Faça login na página da sessão ChatGPT.
- Em Inspecionar – Rede, encontre as conexões com a página da sessão ChatGPT.
- Encontre o biscoito no cabeçalho da solicitação na solicitação https://chat.openai.com/api/auth/session e cole-o no campo de cookie de config/chatgpt_config.py. (Você pode usar Inspecionar->Rede, encontrar uma sessão e copiar o campo cookie em request_headers para https://chat.openai.com/api/auth/session)
- Observe que os outros campos estão temporariamente obsoletos devido à atualização do Página ChatGPT.
- Preencha userAgent com seu agente de usuário.
- Se você estiver usando API:
- Preencha a chave da API OpenAI em chatgpt_config.py.
- Para verificar se a conexão está configurada corretamente, você pode executar python3 test_connection.py. Você deverá ver alguns exemplos de conversas com ChatGPT. a saída está abaixo.1. Você está conectado com o cookie ChatGPT Plus. Para iniciar o PentestGPT, use
## Testar conexão para API OpenAI (GPT-4) 2. Você está conectado à API OpenAI. Você tem GPT-4 acesso. Para iniciar o PentestGPT, use ## Testar conexão para API OpenAI (GPT-3.5) 3. Você está conectado à API OpenAI. Você tem GPT-3.5 acesso. Para iniciar o PentestGPT, use - (Aviso) O processo de verificação acima para um cookie. Se você encontrar erros após várias tentativas, tente atualizar a página, repita as etapas acima e tente novamente. Você também pode experimentar o cookie em https://chat.openai.com/backend-api/conversations. Envie um problema se encontrar algum problema.
Função PentestGPT:
O manipulador é o principal ponto de entrada da ferramenta de teste de penetração. Ele permite que os pentesters executem as seguintes operações:
- (inicialize-se com alguns prompts pré-concebidos.)
- Inicie uma nova sessão de teste de penetração fornecendo o informações de destino.
- Peça a lista de tarefas e adquira a próxima passo para executar.
- Após concluir a operação, passe as informações para o PentestGPT.
- Passe uma saída de ferramenta.
- Passe um conteúdo da página da web.
- Passe uma descrição humana.
Há 3 módulos adicionados com PentestGPT.
- Módulo de geração de teste – gera o exato comandos ou operação de teste de penetraçãos para os usuários executarem.
- Módulo de raciocínio de teste – conduz o raciocínio do teste, orientando os testadores de penetração sobre o que fazer a seguir.
- Módulo de análise – analisa a saída das ferramentas de penetração e o conteúdo na UI da web.
Você pode ler os detalhes completos aqui em GitHub e os 30 primeiros melhores ferramentas de teste de penetração.