Inicio>Relacionado con la programación>Pitón
Descargar


PentestGPT

Una herramienta de prueba de penetración potenciada por GPT.
Explora los documentos »

Detalles de diseño · Ver demostración · Informar error o solicitar función

Actualizaciones generales

  • [Actualización el 25/10/2024] ¡Estamos completando la refactorización de PentestGPT y pronto lanzaremos la versión 1.0!
  • [Actualización del 08/12/2024] El artículo de investigación sobre PentestGPT se publica en USENIX Security 2024
  • [Actualización del 25/03/2024] Estamos trabajando en la próxima versión de PentestGPT, con búsqueda en línea, RAG y mensajes más potentes. ¡Manténganse al tanto!
  • [Actualización del 17/11/2023] ¡Los GPT para PentestGPT ya están disponibles! Mira esto: https://chat.openai.com/g/g-4MHbTepWO-pentestgpt
  • [Actualización del 11/07/2023] ¡GPT-4-turbo ya disponible! Actualice el uso de API predeterminado a GPT-4-turbo.
  • Vídeos disponibles:
    • El último vídeo de instalación está aquí.
    • PentestGPT para máquinas tipo OSCP: HTB-Jarvis . Esta es sólo la primera parte y completaré el resto cuando tenga tiempo.
    • PentestGPT en HTB-Lame . Esta es una máquina sencilla, pero le muestra cómo PentestGPT se saltó la madriguera del conejo y trabajó en otras vulnerabilidades potenciales.
  • Estamos probando PentestGPT en HackTheBox . Puedes seguir este enlace. Pronto se publicarán más detalles.
  • ¡No dudes en unirte al canal Discord para obtener más actualizaciones y compartir tus ideas!

Inicio rápido

  1. Cree un entorno virtual si es necesario. ( virtualenv -p python3 venv , source venv/bin/activate )
  2. Instale el proyecto con pip3 install git+https://github.com/GreyDGL/PentestGPT
  3. Asegúrese de haber vinculado un método de pago a su cuenta OpenAI. Exporte su clave API con export OPENAI_API_KEY='<your key here>' , exporte la base API con export OPENAI_BASEURL='https://api.xxxx.xxx/v1' si es necesario.
  4. Pruebe la conexión con pentestgpt-connection
  5. Para usuarios de Kali: utilice tmux como entorno de terminal. Puede hacerlo simplemente ejecutando tmux en la terminal nativa.
  6. Para empezar: pentestgpt --logging

Empezando

  • PentestGPT es una herramienta de prueba de penetración potenciada por ChatGPT .
  • Está diseñado para automatizar el proceso de pruebas de penetración. Está construido sobre ChatGPT y opera en modo interactivo para guiar a los evaluadores de penetración tanto en el progreso general como en operaciones específicas.
  • PentestGPT es capaz de resolver máquinas HackTheBox de niveles fáciles a medianos y otros desafíos CTF. Puedes consultar este ejemplo en resources donde lo usamos para resolver el desafío HackTheBox TEMPLADO (desafío web).
  • Un proceso de prueba de muestra de PentestGPT en una máquina VulnHub de destino (Hackable II) está disponible aquí.
  • A continuación se muestra un vídeo de uso de muestra: (o disponible aquí: Demostración)

Preguntas comunes

  • P : ¿Qué es PentestGPT?
    • R : PentestGPT es una herramienta de prueba de penetración basada en modelos de lenguaje grandes (LLM). Está diseñado para automatizar el proceso de pruebas de penetración. Está construido sobre la API ChatGPT y opera en modo interactivo para guiar a los evaluadores de penetración tanto en el progreso general como en operaciones específicas.
  • P : ¿Tengo que pagar para usar PentestGPT?
    • R : Sí, para lograr el mejor rendimiento. En general, puede utilizar cualquier LLM que desee, pero se recomienda utilizar la API GPT-4, para la cual debe vincular un método de pago a OpenAI.
  • P : ¿Por qué GPT-4?
    • R : Después de la evaluación empírica, encontramos que GPT-4 funciona mejor que GPT-3.5 y otros LLM en términos de razonamiento de pruebas de penetración. De hecho, GPT-3.5 provoca pruebas fallidas en tareas simples.
  • P : ¿Por qué no utilizar GPT-4 directamente?
    • R : Descubrimos que GPT-4 sufre pérdidas de contexto a medida que las pruebas profundizan. Es esencial mantener un "conocimiento del estado de la prueba" en este proceso. Puede consultar el documento PentestGPT Arxiv para obtener más detalles.
  • P : ¿Puedo utilizar modelos GPT locales?
    • R : Sí. Admitimos LLM locales con analizador personalizado. Mira ejemplos aquí.

Instalación

PentestGPT se prueba en Python 3.10 . Otras versiones de Python3 deberían funcionar pero no están probadas.

Instalar con pip

PentestGPT se basa en la API OpenAI para lograr un razonamiento de alta calidad. Puede consultar el vídeo de instalación aquí.

  1. Instale la última versión con pip3 install git+https://github.com/GreyDGL/PentestGPT
    • También puede clonar el proyecto en el entorno local e instalarlo para una mejor personalización y desarrollo.
      • git clone https://github.com/GreyDGL/PentestGPT
      • cd PentestGPT
      • pip3 install -e .
  2. Para utilizar la API OpenAI
    • Asegúrese de haber vinculado un método de pago a su cuenta OpenAI.
    • exporte su clave API con export OPENAI_API_KEY='<your key here>'
    • exporte la base de API con export OPENAI_BASEURL='https://api.xxxx.xxx/v1' si es necesario.
    • Pruebe la conexión con pentestgpt-connection
  3. Para verificar que la conexión esté configurada correctamente, puede ejecutar pentestgpt-connection . Después de un tiempo, deberías ver algún ejemplo de conversación con ChatGPT.
    • A continuación se muestra un resultado de muestra 
     You're testing the connection for PentestGPT v 0.11.0
#### Test connection for OpenAI api (GPT-4)
1. You're connected with OpenAI API. You have GPT-4 access. To start PentestGPT, please use <pentestgpt --reasoning_model=gpt-4>

#### Test connection for OpenAI api (GPT-3.5)
2. You're connected with OpenAI API. You have GPT-3.5 access. To start PentestGPT, please use <pentestgpt --reasoning_model=gpt-3.5-turbo-16k>
    • Aviso: si no ha vinculado un método de pago a su cuenta OpenAI, verá mensajes de error.
  4. La solución de cookies ChatGPT está obsoleta y no se recomienda. Aún puedes usarlo ejecutando pentestgpt --reasoning_model=gpt-4 --useAPI=False .

Construir desde la fuente

  1. Clona el repositorio a tu entorno local.
  2. Asegúrese de que poetry esté instalada. De lo contrario, consulte la guía de instalación de poesía.

Uso

  1. Se recomienda ejecutar :

    • (recomendado) - pentestgpt --reasoning_model=gpt-4-turbo para utilizar la última API GPT-4-turbo.
    • pentestgpt --reasoning_model=gpt-4 si tiene acceso a la API GPT-4.
    • pentestgpt --reasoning_model=gpt-3.5-turbo-16k si solo tiene acceso a la API GPT-3.5.

  2. Para comenzar, ejecute pentestgpt --args .

    • --help muestra el mensaje de ayuda
    • --reasoning_model es el modelo de razonamiento que desea utilizar.
    • --parsing_model es el modelo de análisis que desea utilizar.
    • --useAPI es si desea utilizar la API OpenAI. Por defecto está configurado en True .
    • --log_dir es el directorio de salida del registro personalizado. La ubicación es un directorio relativo.
    • --logging define si desea compartir los registros con nosotros. Por defecto está configurado en False .

  3. La herramienta funciona de manera similar a msfconsole . Siga las instrucciones para realizar pruebas de penetración.

  4. En general, PentestGPT toma comandos similares a chatGPT. Hay varios comandos básicos.

    1. Los comandos son:
      • help : muestra el mensaje de ayuda.
      • next : ingrese el resultado de la ejecución de la prueba y obtenga el siguiente paso.
      • more : deje que PentestGPT explique más detalles del paso actual. Además, se creará un nuevo solucionador de subtareas para guiar al evaluador.
      • todo : muestra la lista de tareas pendientes.
      • discuss : discutir con el PentestGPT .
      • google : busca en Google. Esta función aún está en desarrollo.
      • quit : salga de la herramienta y guarde el resultado como archivo de registro (consulte la sección de informes a continuación).
    2. Puede usar <SHIFT + flecha derecha> para finalizar su entrada (y es para la siguiente línea).
    3. Siempre puedes usar TAB para autocompletar los comandos.
    4. Cuando se le proporciona una lista de selección desplegable, puede usar el cursor o la tecla de flecha para navegar por la lista. Presione ENTER para seleccionar el elemento. De manera similar, use <SHIFT + flecha derecha> para confirmar la selección.
      El usuario puede enviar información sobre:
      • herramienta : salida de la herramienta de prueba de seguridad utilizada
      • web : contenido relevante de una página web
      • predeterminado : lo que quieras, la herramienta lo manejará
      • comentarios de usuarios : comentarios de usuarios sobre las operaciones de PentestGPT

  5. En el controlador de subtareas iniciado por more , los usuarios pueden ejecutar más comandos para investigar un problema específico:

    1. Los comandos son:
      • help : muestra el mensaje de ayuda.
      • brainstorm : deje que PentestGPT intercambie ideas sobre la tarea local para todas las soluciones posibles.
      • discuss : discuta con PentestGPT sobre esta tarea local.
      • google : busca en Google. Esta función aún está en desarrollo.
      • continue : sale de la subtarea y continúa con la sesión de prueba principal.

Informe y registro

  1. [Actualización] Si desea que recopilemos los registros para mejorar la herramienta, ejecute pentestgpt --logging . Solo recopilaremos el uso de LLM, sin ninguna información relacionada con su clave OpenAI.
  2. Después de finalizar la prueba de penetración, se generará automáticamente un informe en la carpeta logs (si sale con el comando quit ).
  3. El informe se puede imprimir en un formato legible por humanos ejecutando python3 utils/report_generator.py <log file> . También se carga un informe de muestra sample_pentestGPT_log.txt .

Puntos finales de modelo personalizados y LLM locales

PentestGPT ahora admite LLM locales, pero las indicaciones solo están optimizadas para GPT-4.

  • Para utilizar el modelo GPT4ALL local, puede ejecutar pentestgpt --reasoning_model=gpt4all --parsing_model=gpt4all .
  • Para seleccionar el modelo particular que desea usar con GPT4ALL, puede actualizar la clase module_mapping en pentestgpt/utils/APIs/module_import.py .
  • También puedes seguir los ejemplos de module_import.py , gpt4all.py y chatgpt_api.py para crear soporte API para tu propio modelo.

Citación

Cite nuestro artículo en: 

 @inproceedings {299699,
author = {Gelei Deng and Yi Liu and V{'i}ctor Mayoral-Vilches and Peng Liu and Yuekang Li and Yuan Xu and Tianwei Zhang and Yang Liu and Martin Pinzger and Stefan Rass},
title = {{PentestGPT}: Evaluating and Harnessing Large Language Models for Automated Penetration Testing},
booktitle = {33rd USENIX Security Symposium (USENIX Security 24)},
year = {2024},
isbn = {978-1-939133-44-1},
address = {Philadelphia, PA},
pages = {847--864},
url = {https://www.usenix.org/conference/usenixsecurity24/presentation/deng},
publisher = {USENIX Association},
month = aug
}

Licencia

Distribuido bajo la licencia MIT. Consulte LICENSE.txt para obtener más información. La herramienta tiene únicamente fines educativos y el autor no tolera ningún uso ilegal. Úselo bajo su propio riesgo.

¡Contacta a los contribuyentes!

(volver arriba)

Expandir
Información adicional
Aplicaciones relacionadas
Recomendado para ti
Información relacionada Todo