PentestGPT

• [Update am 25.10.2024] Wir schließen die Umgestaltung von PentestGPT ab und werden bald v1.0 veröffentlichen!
• [Update am 08.12.2024] Das Forschungspapier zu PentestGPT wird auf der USENIX Security 2024 veröffentlicht
• [Update am 25.03.2024] Wir arbeiten an der nächsten Version von PentestGPT, mit Online-Suche, RAGs und leistungsfähigeren Eingabeaufforderungen. Bleiben Sie dran!
• [Update am 17.11.2023] GPTs für PentestGPT ist da! Überprüfen Sie dies: https://chat.openai.com/g/g-4MHbTepWO-pentestgpt
• [Update am 11.07.2023] GPT-4-turbo ist da! Aktualisieren Sie die Standard-API-Nutzung auf GPT-4-turbo.
• Verfügbare Videos:
  • Das neueste Installationsvideo finden Sie hier.
  • PentestGPT für OSCP-ähnliche Maschine: HTB-Jarvis . Dies ist nur der erste Teil und ich werde den Rest fertigstellen, wenn ich Zeit habe.
  • PentestGPT auf HTB-Lame . Dies ist eine einfache Maschine, aber sie zeigt Ihnen, wie PentestGPT das Kaninchenloch übersprungen und an anderen potenziellen Schwachstellen gearbeitet hat.
• Wir testen PentestGPT auf HackTheBox . Sie können diesem Link folgen. Weitere Details werden in Kürze veröffentlicht.
• Treten Sie gerne dem Discord-Kanal bei, um weitere Updates zu erhalten und Ihre Ideen zu teilen!

1. Erstellen Sie bei Bedarf eine virtuelle Umgebung. ( virtualenv -p python3 venv , source venv/bin/activate )
2. Installieren Sie das Projekt mit pip3 install git+https://github.com/GreyDGL/PentestGPT
3. Stellen Sie sicher, dass Sie eine Zahlungsmethode mit Ihrem OpenAI-Konto verknüpft haben. Exportieren Sie Ihren API-Schlüssel mit export OPENAI_API_KEY='<your key here>' , exportieren Sie die API-Basis mit export OPENAI_BASEURL='https://api.xxxx.xxx/v1' falls erforderlich.
4. Testen Sie die Verbindung mit pentestgpt-connection
5. Für Kali-Benutzer: Verwenden Sie tmux als Terminalumgebung. Sie können dies tun, indem Sie einfach tmux im nativen Terminal ausführen.
6. Zum Starten: pentestgpt --logging

• PentestGPT ist ein Penetrationstest-Tool, das von ChatGPT unterstützt wird.
• Es wurde entwickelt, um den Penetrationstestprozess zu automatisieren. Es basiert auf ChatGPT und arbeitet in einem interaktiven Modus, um Penetrationstester sowohl beim Gesamtfortschritt als auch bei bestimmten Vorgängen anzuleiten.
• PentestGPT ist in der Lage, einfache bis mittlere HackTheBox-Maschinen und andere CTF-Herausforderungen zu lösen. Sie können dieses Beispiel in resources überprüfen, in denen wir es zur Lösung der HackTheBox-Herausforderung TEMPLATED (Web-Herausforderung) verwenden.
• Ein Beispieltestprozess von PentestGPT auf einem VulnHub-Zielcomputer (Hackable II) ist hier verfügbar.
• Ein Beispielvideo zur Verwendung finden Sie unten: (oder hier verfügbar: Demo)

• F : Was ist PentestGPT?
  • A : PentestGPT ist ein Penetrationstest-Tool, das auf Large Language Models (LLMs) basiert. Es wurde entwickelt, um den Penetrationstestprozess zu automatisieren. Es basiert auf der ChatGPT-API und arbeitet in einem interaktiven Modus, um Penetrationstester sowohl beim Gesamtfortschritt als auch bei bestimmten Vorgängen zu unterstützen.
• F : Muss ich für die Nutzung von PentestGPT bezahlen?
  • A : Ja, um die beste Leistung zu erzielen. Im Allgemeinen können Sie beliebige LLMs verwenden, es wird jedoch empfohlen, die GPT-4-API zu verwenden, für die Sie eine Zahlungsmethode mit OpenAI verknüpfen müssen.
• F : Warum GPT-4?
  • A : Nach empirischer Auswertung stellen wir fest, dass GPT-4 hinsichtlich der Argumentation für Penetrationstests besser abschneidet als GPT-3.5 und andere LLMs. Tatsächlich führt GPT-3.5 bei einfachen Aufgaben zu fehlgeschlagenen Tests.
• F : Warum nicht einfach GPT-4 direkt verwenden?
  • A : Wir haben festgestellt, dass GPT-4 mit zunehmender Tiefe des Tests unter Kontextverlusten leidet. Dabei ist es wichtig, ein „Teststatusbewusstsein“ aufrechtzuerhalten. Weitere Informationen finden Sie im PentestGPT Arxiv Paper.
• F : Kann ich lokale GPT-Modelle verwenden?
  • A : Ja. Wir unterstützen lokale LLMs mit benutzerdefiniertem Parser. Schauen Sie sich hier Beispiele an.

PentestGPT wird unter Python 3.10 getestet. Andere Python3-Versionen sollten funktionieren, wurden aber nicht getestet.

PentestGPT verlässt sich auf die OpenAI-API, um eine qualitativ hochwertige Argumentation zu erreichen. Das Installationsvideo finden Sie hier.

1. Installieren Sie die neueste Version mit pip3 install git+https://github.com/GreyDGL/PentestGPT
   • Sie können das Projekt auch in einer lokalen Umgebung klonen und zur besseren Anpassung und Entwicklung installieren
     • git clone https://github.com/GreyDGL/PentestGPT
     • cd PentestGPT
     • pip3 install -e .
2. Um die OpenAI-API zu verwenden
   • Stellen Sie sicher, dass Sie eine Zahlungsmethode mit Ihrem OpenAI-Konto verknüpft haben.
   • Exportieren Sie Ihren API-Schlüssel mit export OPENAI_API_KEY='<your key here>'
   • Exportieren Sie die API-Basis bei Bedarf mit export OPENAI_BASEURL='https://api.xxxx.xxx/v1' .
   • Testen Sie die Verbindung mit pentestgpt-connection
3. Um zu überprüfen, ob die Verbindung ordnungsgemäß konfiguriert ist, können Sie pentestgpt-connection ausführen. Nach einer Weile sollten Sie ein Beispielgespräch mit ChatGPT sehen.
   • Eine Beispielausgabe finden Sie unten

    You're testing the connection for PentestGPT v 0.11.0
   #### Test connection for OpenAI api (GPT-4)
   1. You're connected with OpenAI API. You have GPT-4 access. To start PentestGPT, please use <pentestgpt --reasoning_model=gpt-4>
   
   #### Test connection for OpenAI api (GPT-3.5)
   2. You're connected with OpenAI API. You have GPT-3.5 access. To start PentestGPT, please use <pentestgpt --reasoning_model=gpt-3.5-turbo-16k>
   

   • Hinweis: Wenn Sie keine Zahlungsmethode mit Ihrem OpenAI-Konto verknüpft haben, werden Fehlermeldungen angezeigt.
4. Die ChatGPT-Cookie-Lösung ist veraltet und wird nicht empfohlen. Sie können es weiterhin verwenden, indem Sie pentestgpt --reasoning_model=gpt-4 --useAPI=False ausführen.

1. Klonen Sie das Repository in Ihre lokale Umgebung.
2. Stellen Sie sicher, dass poetry installiert ist. Wenn nicht, lesen Sie bitte die Poesie-Installationsanleitung.

1. Es wird empfohlen, Folgendes auszuführen :

   • (empfohlen) - pentestgpt --reasoning_model=gpt-4-turbo um die neueste GPT-4-turbo-API zu verwenden.
   • pentestgpt --reasoning_model=gpt-4 , wenn Sie Zugriff auf die GPT-4-API haben.
   • pentestgpt --reasoning_model=gpt-3.5-turbo-16k , wenn Sie nur Zugriff auf die GPT-3.5-API haben.

2. Führen Sie zunächst pentestgpt --args aus.

   • --help zeigt die Hilfemeldung an
   • --reasoning_model ist das Argumentationsmodell, das Sie verwenden möchten.
   • --parsing_model ist das Parsing-Modell, das Sie verwenden möchten.
   • --useAPI gibt an, ob Sie die OpenAI-API verwenden möchten. Standardmäßig ist es auf True gesetzt.
   • --log_dir ist das benutzerdefinierte Protokollausgabeverzeichnis. Der Speicherort ist ein relatives Verzeichnis.
   • --logging legt fest, ob Sie die Protokolle mit uns teilen möchten. Standardmäßig ist es auf False gesetzt.

3. Das Tool funktioniert ähnlich wie msfconsole . Befolgen Sie die Anleitung zur Durchführung von Penetrationstests.

4. Im Allgemeinen nimmt PentestGPT ähnliche Befehle entgegen wie chatGPT. Es gibt mehrere grundlegende Befehle.

   1. Die Befehle sind:
      • help : Zeigt die Hilfemeldung an.
      • next : Geben Sie das Ergebnis der Testausführung ein und rufen Sie den nächsten Schritt auf.
      • more : Lassen Sie PentestGPT weitere Details des aktuellen Schritts erklären. Außerdem wird ein neuer Unteraufgabenlöser erstellt, der den Tester anleitet.
      • todo : Zeigt die Todo-Liste an.
      • discuss : Diskutieren Sie mit dem PentestGPT .
      • google : Suche bei Google. Diese Funktion befindet sich noch in der Entwicklung.
      • quit : Beenden Sie das Tool und speichern Sie die Ausgabe als Protokolldatei (siehe Abschnitt „Berichte“ unten).
   2. Mit <UMSCHALT+Rechtspfeil> können Sie Ihre Eingabe beenden (und für die nächste Zeile).
   3. Sie können jederzeit TAB verwenden, um die Befehle automatisch zu vervollständigen.
   4. Wenn Ihnen eine Dropdown-Auswahlliste angezeigt wird, können Sie mit dem Cursor oder der Pfeiltaste durch die Liste navigieren. Drücken Sie ENTER um das Element auszuwählen. Bestätigen Sie die Auswahl ebenfalls mit <UMSCHALT+Rechtspfeil>.
      Der Benutzer kann Informationen über Folgendes übermitteln:
      • Tool : Ausgabe des verwendeten Sicherheitstesttools
      • Web : relevanter Inhalt einer Webseite
      • Standard : Was auch immer Sie wollen, das Tool erledigt es
      • Benutzerkommentare : Benutzerkommentare zu PentestGPT-Vorgängen

5. Im von more initiierten Unteraufgaben-Handler können Benutzer weitere Befehle ausführen, um ein bestimmtes Problem zu untersuchen:

   1. Die Befehle sind:
      • help : Zeigt die Hilfemeldung an.
      • brainstorm : Lassen Sie PentestGPT ein Brainstorming zur lokalen Aufgabe durchführen, um alle möglichen Lösungen zu finden.
      • discuss : Besprechen Sie mit PentestGPT diese lokale Aufgabe.
      • google : Suche bei Google. Diese Funktion befindet sich noch in der Entwicklung.
      • continue : Beenden Sie die Unteraufgabe und setzen Sie die Haupttestsitzung fort.

1. [Update] Wenn Sie möchten, dass wir die Protokolle sammeln, um das Tool zu verbessern, führen Sie bitte pentestgpt --logging aus. Wir erfassen nur die LLM-Nutzung, ohne Informationen zu Ihrem OpenAI-Schlüssel.
2. Nach Abschluss des Penetrationstests wird automatisch ein Bericht im logs erstellt (wenn Sie den Vorgang mit dem Befehl quit beenden).
3. Der Bericht kann in einem für Menschen lesbaren Format gedruckt werden, indem python3 utils/report_generator.py <log file> ausgeführt wird. Ein Beispielbericht sample_pentestGPT_log.txt wird ebenfalls hochgeladen.

PentestGPT unterstützt jetzt lokale LLMs, die Eingabeaufforderungen sind jedoch nur für GPT-4 optimiert.

• Um das lokale GPT4ALL-Modell zu verwenden, können Sie pentestgpt --reasoning_model=gpt4all --parsing_model=gpt4all ausführen.
• Um das bestimmte Modell auszuwählen, das Sie mit GPT4ALL verwenden möchten, können Sie die Klasse module_mapping in pentestgpt/utils/APIs/module_import.py aktualisieren.
• Sie können auch den Beispielen module_import.py , gpt4all.py und chatgpt_api.py folgen, um API-Unterstützung für Ihr eigenes Modell zu erstellen.

Bitte zitieren Sie unser Papier unter:

 @inproceedings {299699,
author = {Gelei Deng and Yi Liu and V{'i}ctor Mayoral-Vilches and Peng Liu and Yuekang Li and Yuan Xu and Tianwei Zhang and Yang Liu and Martin Pinzger and Stefan Rass},
title = {{PentestGPT}: Evaluating and Harnessing Large Language Models for Automated Penetration Testing},
booktitle = {33rd USENIX Security Symposium (USENIX Security 24)},
year = {2024},
isbn = {978-1-939133-44-1},
address = {Philadelphia, PA},
pages = {847--864},
url = {https://www.usenix.org/conference/usenixsecurity24/presentation/deng},
publisher = {USENIX Association},
month = aug
}

Verteilt unter der MIT-Lizenz. Weitere Informationen finden Sie unter LICENSE.txt . Das Tool dient ausschließlich Bildungszwecken und der Autor duldet keine illegale Verwendung. Die Nutzung erfolgt auf eigenes Risiko.

• Gelei Deng - - [email protected]
• Víctor Mayoral Vilches – – [email protected]
• Yi Liu – [email protected]
• Peng Liu – [email protected]
• Yuekang Li – [email protected]

(zurück nach oben)