الصفحة الرئيسية>المتعلقة بالبرمجة>بايثون
تنزيل


PentestGPT

أداة اختبار الاختراق المدعمة بـ GPT.
استكشاف المستندات »

تفاصيل التصميم · عرض العرض التوضيحي · الإبلاغ عن خطأ أو طلب ميزة

التحديثات العامة

  • [تحديث بتاريخ 25/10/2024] نحن نكمل إعادة هيكلة PentestGPT وسنصدر الإصدار 1.0 قريبًا!
  • [التحديث بتاريخ 12/08/2024] تم نشر الورقة البحثية حول PentestGPT في USENIX Security 2024
  • [تحديث بتاريخ 25/03/2024] نحن نعمل على الإصدار التالي من PentestGPT، مع البحث عبر الإنترنت وRAGs والمطالبات الأكثر قوة. ابقوا متابعين!
  • [التحديث بتاريخ 17/11/2023] تم إصدار GPTs لـ PentestGPT! تحقق من هذا: https://chat.openai.com/g/g-4MHbTepWO-pentestgpt
  • [تحديث بتاريخ 11/07/2023] تم إصدار GPT-4-turbo! قم بتحديث استخدام API الافتراضي إلى GPT-4-turbo.
  • الفيديوهات المتوفرة:
    • أحدث فيديو التثبيت هنا.
    • PentestGPT للجهاز الشبيه بـ OSCP: HTB-Jarvis . هذا هو الجزء الأول فقط، وسأكمل الباقي عندما يتوفر لدي الوقت.
    • PentestGPT على HTB-Lame . هذه آلة سهلة، ولكنها توضح لك كيف تخطت PentestGPT حفرة الأرانب وعملت على نقاط الضعف المحتملة الأخرى.
  • نحن نختبر PentestGPT على HackTheBox . يمكنك اتباع هذا الرابط. سيتم الافراج عن مزيد من التفاصيل قريبا.
  • لا تتردد في الانضمام إلى قناة Discord لمزيد من التحديثات ومشاركة أفكارك!

بداية سريعة

  1. قم بإنشاء بيئة افتراضية إذا لزم الأمر. ( virtualenv -p python3 venv ، source venv/bin/activate )
  2. قم بتثبيت المشروع باستخدام pip3 install git+https://github.com/GreyDGL/PentestGPT
  3. تأكد من ربط طريقة الدفع بحساب OpenAI الخاص بك. قم بتصدير مفتاح واجهة برمجة التطبيقات (API) الخاص بك من خلال export OPENAI_API_KEY='<your key here>' ، وتصدير قاعدة واجهة برمجة التطبيقات (API) مع export OPENAI_BASEURL='https://api.xxxx.xxx/v1' إذا كنت بحاجة إلى ذلك.
  4. اختبر الاتصال باستخدام pentestgpt-connection
  5. لمستخدمي Kali: استخدم tmux كبيئة طرفية. يمكنك القيام بذلك ببساطة عن طريق تشغيل tmux في الجهاز الأصلي.
  6. للبدء: pentestgpt --logging

ابدء

  • PentestGPT هي أداة لاختبار الاختراق مدعومة من ChatGPT .
  • وهي مصممة لأتمتة عملية اختبار الاختراق. إنه مبني على ChatGPT ويعمل في وضع تفاعلي لتوجيه مختبري الاختراق في كل من التقدم العام والعمليات المحددة.
  • PentestGPT قادر على حل أجهزة HackTheBox السهلة والمتوسطة وتحديات CTF الأخرى. يمكنك التحقق من هذا المثال في resources التي نستخدمها فيها لحل تحدي HackTheBox TEMPLATED (تحدي الويب).
  • تتوفر عينة من عملية اختبار PentestGPT على جهاز VulnHub مستهدف (Hackable II) هنا.
  • يوجد أدناه نموذج فيديو للاستخدام: (أو متاح هنا: العرض التوضيحي)

الأسئلة الشائعة

  • س : ما هو PentestGPT؟
    • ج : PentestGPT هي أداة لاختبار الاختراق مدعومة بنماذج اللغات الكبيرة (LLMs). وهي مصممة لأتمتة عملية اختبار الاختراق. إنه مبني على واجهة ChatGPT API ويعمل في وضع تفاعلي لتوجيه مختبري الاختراق في كل من التقدم العام والعمليات المحددة.
  • س : هل أحتاج إلى الدفع لاستخدام PentestGPT؟
    • ج : نعم من أجل تحقيق أفضل أداء. بشكل عام، يمكنك استخدام أي ماجستير إدارة أعمال تريده، ولكن يُنصح باستخدام GPT-4 API، حيث يتعين عليك ربط طريقة الدفع بـ OpenAI.
  • س : لماذا جي بي تي-4؟
    • ج : بعد التقييم التجريبي، وجدنا أن أداء GPT-4 أفضل من GPT-3.5 وغيره من برامج LLM من حيث منطق اختبار الاختراق. في الواقع، يؤدي GPT-3.5 إلى فشل الاختبار في المهام البسيطة.
  • س : لماذا لا نستخدم GPT-4 مباشرة؟
    • ج : وجدنا أن GPT-4 يعاني من فقدان السياق مع تعمق الاختبار. ومن الضروري الحفاظ على "الوعي بحالة الاختبار" في هذه العملية. يمكنك التحقق من ورقة PentestGPT Arxiv للحصول على التفاصيل.
  • س : هل يمكنني استخدام نماذج GPT المحلية؟
    • ج : نعم. نحن ندعم حاملي شهادات LLM المحلية باستخدام محلل مخصص. انظر إلى الأمثلة هنا.

تثبيت

تم اختبار PentestGPT ضمن Python 3.10 . من المفترض أن تعمل إصدارات Python3 الأخرى ولكن لم يتم اختبارها.

التثبيت بالنقطة

يعتمد PentestGPT على OpenAI API لتحقيق تفكير عالي الجودة. يمكنك الرجوع إلى فيديو التثبيت هنا.

  1. قم بتثبيت أحدث إصدار باستخدام pip3 install git+https://github.com/GreyDGL/PentestGPT
    • يمكنك أيضًا استنساخ المشروع في البيئة المحلية وتثبيته لتحسين التخصيص والتطوير
      • git clone https://github.com/GreyDGL/PentestGPT
      • cd PentestGPT
      • pip3 install -e .
  2. لاستخدام OpenAI API
    • تأكد من ربط طريقة الدفع بحساب OpenAI الخاص بك.
    • تصدير مفتاح واجهة برمجة التطبيقات (API) الخاص بك مع export OPENAI_API_KEY='<your key here>'
    • تصدير قاعدة واجهة برمجة التطبيقات (API) مع export OPENAI_BASEURL='https://api.xxxx.xxx/v1' إذا كنت بحاجة.
    • اختبر الاتصال باستخدام pentestgpt-connection
  3. للتحقق من تكوين الاتصال بشكل صحيح، يمكنك تشغيل pentestgpt-connection . بعد فترة من الوقت، من المفترض أن تشاهد بعض نماذج المحادثة مع ChatGPT.
    • عينة الإخراج أدناه 
     You're testing the connection for PentestGPT v 0.11.0
#### Test connection for OpenAI api (GPT-4)
1. You're connected with OpenAI API. You have GPT-4 access. To start PentestGPT, please use <pentestgpt --reasoning_model=gpt-4>

#### Test connection for OpenAI api (GPT-3.5)
2. You're connected with OpenAI API. You have GPT-3.5 access. To start PentestGPT, please use <pentestgpt --reasoning_model=gpt-3.5-turbo-16k>
    • ملاحظة: إذا لم تقم بربط طريقة الدفع بحساب OpenAI الخاص بك، فسوف ترى رسائل خطأ.
  4. تم إهمال حل ملفات تعريف الارتباط ChatGPT ولا يوصى به. لا يزال بإمكانك استخدامه عن طريق تشغيل pentestgpt --reasoning_model=gpt-4 --useAPI=False .

البناء من المصدر

  1. استنساخ المستودع إلى بيئتك المحلية.
  2. التأكد من تثبيت poetry . إذا لم يكن الأمر كذلك، يرجى الرجوع إلى دليل تركيب الشعر.

الاستخدام

  1. يوصى بتشغيل :

    • (مستحسن) - pentestgpt --reasoning_model=gpt-4-turbo لاستخدام أحدث واجهة برمجة تطبيقات GPT-4-turbo.
    • pentestgpt --reasoning_model=gpt-4 إذا كان لديك حق الوصول إلى GPT-4 API.
    • pentestgpt --reasoning_model=gpt-3.5-turbo-16k إذا كان لديك حق الوصول إلى GPT-3.5 API فقط.

  2. للبدء، قم بتشغيل pentestgpt --args .

    • --help في إظهار رسالة المساعدة
    • --reasoning_model هو نموذج الاستدلال الذي تريد استخدامه.
    • --parsing_model هو نموذج التحليل الذي تريد استخدامه.
    • --useAPI هو ما إذا كنت تريد استخدام OpenAI API. افتراضيًا، يتم تعيينه على True .
    • --log_dir هو دليل إخراج السجل المخصص. الموقع هو دليل نسبي.
    • - يحدد --logging ما إذا كنت ترغب في مشاركة السجلات معنا. افتراضيًا، يتم تعيينه على False .

  3. تعمل الأداة بشكل مشابه لـ msfconsole . اتبع الإرشادات لإجراء اختبار الاختراق.

  4. بشكل عام، يتلقى PentestGPT أوامر مشابهة لـ chatGPT. هناك العديد من الأوامر الأساسية.

    1. الأوامر هي:
      • help : إظهار رسالة المساعدة.
      • next : أدخل نتيجة تنفيذ الاختبار واحصل على الخطوة التالية.
      • more : اسمح لـ PentestGPT بشرح المزيد من التفاصيل حول الخطوة الحالية. سيتم أيضًا إنشاء أداة حل المهام الفرعية الجديدة لتوجيه المُختبر.
      • todo : إظهار قائمة ما يجب عمله.
      • discuss : ناقش مع PentestGPT .
      • google : ابحث في جوجل. هذه الوظيفة لا تزال قيد التطوير.
      • quit : اخرج من الأداة واحفظ المخرجات كملف سجل (راجع قسم إعداد التقارير أدناه).
    2. يمكنك استخدام <SHIFT + سهم لليمين> لإنهاء إدخالك (وهو مخصص للسطر التالي).
    3. يمكنك دائمًا استخدام TAB للإكمال التلقائي للأوامر.
    4. عندما يتم إعطاؤك قائمة اختيار منسدلة، يمكنك استخدام المؤشر أو مفتاح السهم للتنقل في القائمة. اضغط على ENTER لتحديد العنصر. وبالمثل، استخدم <SHIFT + السهم الأيمن> لتأكيد التحديد.
      يمكن للمستخدم تقديم معلومات حول:
      • الأداة : مخرجات أداة اختبار الأمان المستخدمة
      • الويب : المحتوى ذو الصلة لصفحة الويب
      • الافتراضي : كل ما تريد، ستتعامل معه الأداة
      • تعليقات المستخدم : تعليقات المستخدم حول عمليات PentestGPT

  5. في معالج المهام الفرعية الذي يبدأ بواسطة more ، يمكن للمستخدمين تنفيذ المزيد من الأوامر للتحقيق في مشكلة معينة:

    1. الأوامر هي:
      • help : إظهار رسالة المساعدة.
      • brainstorm : اسمح لـ PentestGPT بالعصف الذهني حول المهمة المحلية لجميع الحلول الممكنة.
      • discuss : ناقش مع PentestGPT حول هذه المهمة المحلية.
      • google : ابحث في جوجل. هذه الوظيفة لا تزال قيد التطوير.
      • continue : الخروج من المهمة الفرعية ومواصلة جلسة الاختبار الرئيسية.

التقرير والتسجيل

  1. [تحديث] إذا كنت تريد منا جمع السجلات لتحسين الأداة، يرجى تشغيل pentestgpt --logging . سنقوم فقط بجمع استخدام LLM، دون أي معلومات تتعلق بمفتاح OpenAI الخاص بك.
  2. بعد الانتهاء من اختبار الاختراق، سيتم إنشاء تقرير تلقائيًا في مجلد logs (إذا قمت بالخروج باستخدام أمر quit ).
  3. يمكن طباعة التقرير بتنسيق يمكن قراءته بواسطة الإنسان عن طريق تشغيل python3 utils/report_generator.py <log file> . تم أيضًا تحميل نموذج تقرير sample_pentestGPT_log.txt .

نقاط نهاية النموذج المخصص وLLMs المحلية

يدعم PentestGPT الآن LLMs المحلية، ولكن تم تحسين المطالبات فقط لـ GPT-4.

  • لاستخدام نموذج GPT4ALL المحلي، يمكنك تشغيل pentestgpt --reasoning_model=gpt4all --parsing_model=gpt4all .
  • لتحديد النموذج المعين الذي تريد استخدامه مع GPT4ALL، يمكنك تحديث فئة module_mapping في pentestgpt/utils/APIs/module_import.py .
  • يمكنك أيضًا اتباع أمثلة module_import.py و gpt4all.py و chatgpt_api.py لإنشاء دعم واجهة برمجة التطبيقات (API) لنموذجك الخاص.

الاقتباس

يرجى ذكر ورقتنا في: 

 @inproceedings {299699,
author = {Gelei Deng and Yi Liu and V{'i}ctor Mayoral-Vilches and Peng Liu and Yuekang Li and Yuan Xu and Tianwei Zhang and Yang Liu and Martin Pinzger and Stefan Rass},
title = {{PentestGPT}: Evaluating and Harnessing Large Language Models for Automated Penetration Testing},
booktitle = {33rd USENIX Security Symposium (USENIX Security 24)},
year = {2024},
isbn = {978-1-939133-44-1},
address = {Philadelphia, PA},
pages = {847--864},
url = {https://www.usenix.org/conference/usenixsecurity24/presentation/deng},
publisher = {USENIX Association},
month = aug
}

رخصة

وزعت بموجب ترخيص معهد ماساتشوستس للتكنولوجيا. راجع LICENSE.txt لمزيد من المعلومات. الأداة للأغراض التعليمية فقط ولا يتغاضى المؤلف عن أي استخدام غير قانوني. استخدم على مسؤوليتك الخاصة.

اتصل بالمساهمين!

(العودة إلى الأعلى)

يوسع
معلومات إضافية
تطبيقات ذات صلة
نوصي لك
أخبار ذات صلة الكل