หน้าแรก>การเขียนโปรแกรมที่เกี่ยวข้อง>หลาม
ดาวน์โหลด


PentestGPT

เครื่องมือทดสอบการเจาะระบบที่เสริมประสิทธิภาพ GPT
สำรวจเอกสาร »

รายละเอียดการออกแบบ · ดูการสาธิต · รายงานข้อผิดพลาดหรือคุณสมบัติคำขอ

การอัปเดตทั่วไป

  • [อัปเดตเมื่อวันที่ 25/10/2024] เรากำลังดำเนินการปรับโครงสร้างใหม่ของ PentestGPT ให้เสร็จสิ้นและจะเปิดตัวเวอร์ชัน 1.0 เร็วๆ นี้!
  • [อัปเดตเมื่อ 12/08/2024] บทความวิจัยเกี่ยวกับ PentestGPT เผยแพร่ที่ USENIX Security 2024
  • [อัปเดตเมื่อ 25/03/2024] เรากำลังพัฒนา PentestGPT เวอร์ชันถัดไป พร้อมด้วยการค้นหาออนไลน์ RAG และการแจ้งเตือนที่มีประสิทธิภาพยิ่งขึ้น คอยติดตาม!
  • [อัปเดตเมื่อ 17/11/2023] GPT สำหรับ PentestGPT พร้อมใช้งานแล้ว! ตรวจสอบสิ่งนี้: https://chat.openai.com/g/g-4MHbTepWO-pentestgpt
  • [อัพเดทเมื่อ 07/11/2023] GPT-4-turbo ออกแล้ว! อัปเดตการใช้งาน API เริ่มต้นเป็น GPT-4-turbo
  • วิดีโอที่มีอยู่:
    • วิดีโอการติดตั้งล่าสุดอยู่ที่นี่
    • PentestGPT สำหรับเครื่องที่เหมือน OSCP: HTB-Jarvis นี่เป็นเพียงส่วนแรกเท่านั้น และฉันจะทำส่วนที่เหลือให้เสร็จเมื่อมีเวลา
    • PentestGPT บน HTB-Lame นี่เป็นเครื่องจักรที่ใช้งานง่าย แต่จะแสดงให้คุณเห็นว่า PentestGPT ข้ามช่องโหว่และจัดการกับช่องโหว่อื่นๆ ที่อาจเกิดขึ้นได้อย่างไร
  • เรากำลังทดสอบ PentestGPT บน HackTheBox คุณสามารถไปตามลิงค์นี้ รายละเอียดเพิ่มเติมจะออกเร็ว ๆ นี้
  • เข้าร่วม Discord Channel เพื่อรับข้อมูลอัปเดตเพิ่มเติมและแบ่งปันไอเดียของคุณได้ตามสบาย!

เริ่มต้นอย่างรวดเร็ว

  1. สร้างสภาพแวดล้อมเสมือนหากจำเป็น ( virtualenv -p python3 venv , source venv/bin/activate )
  2. ติดตั้งโครงการด้วย pip3 install git+https://github.com/GreyDGL/PentestGPT
  3. ตรวจสอบให้แน่ใจว่าคุณได้เชื่อมโยงวิธีการชำระเงินกับบัญชี OpenAI ของคุณ ส่งออกคีย์ API ของคุณด้วย export OPENAI_API_KEY='<your key here>' ส่งออกฐาน API ด้วย export OPENAI_BASEURL='https://api.xxxx.xxx/v1' หากคุณต้องการ
  4. ทดสอบการเชื่อมต่อด้วย pentestgpt-connection
  5. สำหรับผู้ใช้ Kali: ใช้ tmux เป็นสภาพแวดล้อมเทอร์มินัล คุณสามารถทำได้โดยเรียกใช้ tmux ในเนทีฟเทอร์มินัล
  6. ในการเริ่มต้น: pentestgpt --logging

เริ่มต้นใช้งาน

  • PentestGPT เป็นเครื่องมือทดสอบการเจาะระบบที่เสริมศักยภาพโดย ChatGPT
  • ได้รับการออกแบบมาเพื่อทำให้กระบวนการทดสอบการเจาะระบบเป็นแบบอัตโนมัติ มันถูกสร้างขึ้นบน ChatGPT และทำงานในโหมดโต้ตอบเพื่อเป็นแนวทางแก่ผู้ทดสอบการเจาะทั้งในด้านความคืบหน้าโดยรวมและการดำเนินงานเฉพาะ
  • PentestGPT สามารถแก้ปัญหาเครื่อง HackTheBox แบบง่ายถึงขนาดกลาง และความท้าทายอื่นๆ ของ CTF ได้ คุณสามารถตรวจสอบตัวอย่างนี้ได้ใน resources ที่เราใช้เพื่อแก้ปัญหาความท้าทายของ HackTheBox TEMPLATED (ความท้าทายทางเว็บ)
  • ดูตัวอย่างกระบวนการทดสอบ PentestGPT บนเครื่อง VulnHub เป้าหมาย (Hackable II) ได้ที่นี่
  • วิดีโอตัวอย่างการใช้งานอยู่ด้านล่าง: (หรือดูได้ที่นี่: สาธิต)

คำถามทั่วไป

  • ถาม : PentestGPT คืออะไร
    • ตอบ : PentestGPT เป็นเครื่องมือทดสอบการเจาะระบบที่ได้รับการสนับสนุนจาก Large Language Models (LLM) ได้รับการออกแบบมาเพื่อทำให้กระบวนการทดสอบการเจาะระบบเป็นแบบอัตโนมัติ มันถูกสร้างขึ้นบน ChatGPT API และทำงานในโหมดโต้ตอบเพื่อเป็นแนวทางแก่ผู้ทดสอบการเจาะทั้งในด้านความคืบหน้าโดยรวมและการดำเนินงานเฉพาะ
  • ถาม : ฉันต้องจ่ายเงินเพื่อใช้ PentestGPT หรือไม่
    • ตอบ : ได้ เพื่อให้ได้ประสิทธิภาพที่ดีที่สุด โดยทั่วไป คุณสามารถใช้ LLM ใดก็ได้ที่ต้องการ แต่ขอแนะนำให้ใช้ GPT-4 API ซึ่งคุณจะต้องเชื่อมโยงวิธีการชำระเงินกับ OpenAI
  • ถาม : ทำไมต้อง GPT-4
    • ตอบ : หลังจากการประเมินเชิงประจักษ์ เราพบว่า GPT-4 ทำงานได้ดีกว่า GPT-3.5 และ LLM อื่นๆ ในแง่ของเหตุผลในการทดสอบการเจาะระบบ ในความเป็นจริง GPT-3.5 นำไปสู่การทดสอบที่ล้มเหลวในงานง่ายๆ
  • ถาม : ทำไมไม่ใช้ GPT-4 โดยตรงล่ะ
    • ตอบ : เราพบว่า GPT-4 สูญเสียบริบทเมื่อการทดสอบเจาะลึกลงไป จำเป็นอย่างยิ่งที่จะต้องรักษา "การรับรู้สถานะการทดสอบ" ในกระบวนการนี้ คุณสามารถตรวจสอบ PentestGPT Arxiv Paper เพื่อดูรายละเอียดได้
  • ถาม : ฉันสามารถใช้โมเดล GPT ท้องถิ่นได้หรือไม่
    • . ใช่. เราสนับสนุน LLM ท้องถิ่นด้วย parser แบบกำหนดเอง ดูตัวอย่างที่นี่

การติดตั้ง

PentestGPT ได้รับการทดสอบภายใต้ Python 3.10 Python3 เวอร์ชันอื่นๆ ควรใช้งานได้แต่ไม่ได้ทดสอบ

ติดตั้งด้วย pip

PentestGPT อาศัย OpenAI API เพื่อให้ได้เหตุผลคุณภาพสูง คุณสามารถดูวิดีโอการติดตั้งได้ที่นี่

  1. ติดตั้งเวอร์ชันล่าสุดด้วย pip3 install git+https://github.com/GreyDGL/PentestGPT
    • คุณยังสามารถโคลนโปรเจ็กต์กับสภาพแวดล้อมภายในเครื่อง และติดตั้งเพื่อการปรับแต่งและพัฒนาที่ดียิ่งขึ้น
      • git clone https://github.com/GreyDGL/PentestGPT
      • cd PentestGPT
      • pip3 install -e .
  2. หากต้องการใช้ OpenAI API
    • ตรวจสอบให้แน่ใจว่าคุณได้เชื่อมโยงวิธีการชำระเงินกับบัญชี OpenAI ของคุณ
    • ส่งออกคีย์ API ของคุณด้วย export OPENAI_API_KEY='<your key here>'
    • ส่งออกฐาน API ด้วย export OPENAI_BASEURL='https://api.xxxx.xxx/v1' หากคุณต้องการ
    • ทดสอบการเชื่อมต่อด้วย pentestgpt-connection
  3. เพื่อตรวจสอบว่าการเชื่อมต่อได้รับการกำหนดค่าอย่างถูกต้อง คุณอาจเรียกใช้ pentestgpt-connection หลังจากนั้นสักระยะ คุณจะเห็นตัวอย่างการสนทนากับ ChatGPT
    • ผลลัพธ์ตัวอย่างอยู่ด้านล่าง 
     You're testing the connection for PentestGPT v 0.11.0
#### Test connection for OpenAI api (GPT-4)
1. You're connected with OpenAI API. You have GPT-4 access. To start PentestGPT, please use <pentestgpt --reasoning_model=gpt-4>

#### Test connection for OpenAI api (GPT-3.5)
2. You're connected with OpenAI API. You have GPT-3.5 access. To start PentestGPT, please use <pentestgpt --reasoning_model=gpt-3.5-turbo-16k>
    • หมายเหตุ: หากคุณไม่ได้เชื่อมโยงวิธีการชำระเงินกับบัญชี OpenAI ของคุณ คุณจะเห็นข้อความแสดงข้อผิดพลาด
  4. โซลูชันคุกกี้ ChatGPT เลิกใช้งานแล้วและไม่แนะนำ คุณยังคงใช้งานได้โดยการรัน pentestgpt --reasoning_model=gpt-4 --useAPI=False

สร้างจากแหล่งที่มา

  1. โคลนพื้นที่เก็บข้อมูลไปยังสภาพแวดล้อมภายในเครื่องของคุณ
  2. ตรวจสอบให้แน่ใจว่าได้ติดตั้ง poetry แล้ว ถ้าไม่ โปรดดูคู่มือการติดตั้งบทกวี

การใช้งาน

  1. ขอแนะนำให้คุณรัน :

    • (แนะนำ) - pentestgpt --reasoning_model=gpt-4-turbo เพื่อใช้ GPT-4-turbo API ล่าสุด
    • pentestgpt --reasoning_model=gpt-4 หากคุณมีสิทธิ์เข้าถึง GPT-4 API
    • pentestgpt --reasoning_model=gpt-3.5-turbo-16k หากคุณมีสิทธิ์เข้าถึง GPT-3.5 API เท่านั้น

  2. ในการเริ่มต้น ให้รัน pentestgpt --args

    • --help แสดงข้อความช่วยเหลือ
    • --reasoning_model เป็นโมเดลการให้เหตุผลที่คุณต้องการใช้
    • --parsing_model คือโมเดลการแยกวิเคราะห์ที่คุณต้องการใช้
    • --useAPI คือว่าคุณต้องการใช้ OpenAI API หรือไม่ โดยค่าเริ่มต้นจะถูกตั้งค่าเป็น True
    • --log_dir เป็นไดเร็กทอรีเอาต์พุตบันทึกที่กำหนดเอง ตำแหน่งเป็นไดเร็กทอรีที่เกี่ยวข้อง
    • --logging กำหนดว่าคุณต้องการแบ่งปันบันทึกกับเราหรือไม่ โดยค่าเริ่มต้นจะถูกตั้งค่าเป็น False

  3. เครื่องมือนี้ทำงานคล้ายกับ msfconsole ปฏิบัติตามคำแนะนำเพื่อทำการทดสอบการเจาะ

  4. โดยทั่วไปแล้ว PentestGPT จะใช้คำสั่งที่คล้ายกับ chatGPT มีคำสั่งพื้นฐานหลายประการ

    1. คำสั่งคือ:
      • help : แสดงข้อความช่วยเหลือ
      • next : ป้อนผลการทดสอบการดำเนินการและรับขั้นตอนถัดไป
      • more : ให้ PentestGPT อธิบายรายละเอียดขั้นตอนปัจจุบันเพิ่มเติม นอกจากนี้ ตัวแก้ปัญหางานย่อยใหม่จะถูกสร้างขึ้นเพื่อเป็นแนวทางแก่ผู้ทดสอบ
      • todo : แสดงรายการสิ่งที่ต้องทำ
      • discuss : หารือกับ PentestGPT
      • google : ค้นหาบน Google ฟังก์ชั่นนี้ยังอยู่ระหว่างการพัฒนา
      • quit : ออกจากเครื่องมือและบันทึกเอาต์พุตเป็นไฟล์บันทึก (ดูส่วน การรายงาน ด้านล่าง)
    2. คุณสามารถใช้ <SHIFT + ลูกศรขวา> เพื่อสิ้นสุดการป้อนข้อมูลของคุณ (และใช้สำหรับบรรทัดถัดไป)
    3. คุณสามารถใช้ TAB เพื่อเติมคำสั่งอัตโนมัติได้เสมอ
    4. เมื่อคุณได้รับรายการเลือกแบบดรอปดาวน์ คุณสามารถใช้เคอร์เซอร์หรือแป้นลูกศรเพื่อนำทางรายการได้ กด ENTER เพื่อเลือกรายการ ในทำนองเดียวกัน ใช้ <SHIFT + ลูกศรขวา> เพื่อยืนยันการเลือก
      ผู้ใช้สามารถส่งข้อมูลเกี่ยวกับ:
      • tool : เอาต์พุตของเครื่องมือทดสอบความปลอดภัยที่ใช้
      • เว็บ : เนื้อหาที่เกี่ยวข้องของหน้าเว็บ
      • default : สิ่งที่คุณต้องการ เครื่องมือจะจัดการมันเอง
      • ความคิดเห็นของผู้ใช้ : ความคิดเห็นของผู้ใช้เกี่ยวกับการดำเนินงาน PentestGPT

  5. ในตัวจัดการงานย่อยที่เริ่มต้นโดย more ผู้ใช้สามารถดำเนินการคำสั่งเพิ่มเติมเพื่อตรวจสอบปัญหาเฉพาะ:

    1. คำสั่งคือ:
      • help : แสดงข้อความช่วยเหลือ
      • brainstorm : ให้ PentestGPT ระดมความคิดในงานในพื้นที่เพื่อหาแนวทางแก้ไขที่เป็นไปได้ทั้งหมด
      • discuss : หารือกับ PentestGPT เกี่ยวกับงานในท้องถิ่นนี้
      • google : ค้นหาบน Google ฟังก์ชั่นนี้ยังอยู่ระหว่างการพัฒนา
      • continue : ออกจากงานย่อยและดำเนินการเซสชันการทดสอบหลักต่อ

รายงานและการบันทึก

  1. [อัปเดต] หากคุณต้องการให้เรารวบรวมบันทึกเพื่อปรับปรุงเครื่องมือ โปรดเรียกใช้ pentestgpt --logging เราจะรวบรวมการใช้งาน LLM เท่านั้น โดยไม่มีข้อมูลใดๆ ที่เกี่ยวข้องกับคีย์ OpenAI ของคุณ
  2. หลังจากเสร็จสิ้นการทดสอบการเจาะระบบ รายงานจะถูกสร้างขึ้นโดยอัตโนมัติใน logs (หากคุณออกด้วยคำสั่ง quit )
  3. รายงานสามารถพิมพ์ในรูปแบบที่มนุษย์สามารถอ่านได้โดยการรัน python3 utils/report_generator.py <log file> รายงานตัวอย่าง sample_pentestGPT_log.txt ก็ถูกอัปโหลดเช่นกัน

จุดสิ้นสุดของโมเดลแบบกำหนดเองและ LLM ท้องถิ่น

ขณะนี้ PentestGPT รองรับ LLM ในเครื่องแล้ว แต่ข้อความแจ้งได้รับการปรับให้เหมาะกับ GPT-4 เท่านั้น

  • หากต้องการใช้โมเดล GPT4ALL ในเครื่อง คุณอาจรัน pentestgpt --reasoning_model=gpt4all --parsing_model=gpt4all
  • หากต้องการเลือกรุ่นเฉพาะที่คุณต้องการใช้กับ GPT4ALL คุณสามารถอัปเดตคลาส module_mapping ใน pentestgpt/utils/APIs/module_import.py
  • คุณยังสามารถทำตามตัวอย่างของ module_import.py , gpt4all.py และ chatgpt_api.py เพื่อสร้างการสนับสนุน API สำหรับโมเดลของคุณเอง

การอ้างอิง

กรุณาอ้างอิงบทความของเราได้ที่: 

 @inproceedings {299699,
author = {Gelei Deng and Yi Liu and V{'i}ctor Mayoral-Vilches and Peng Liu and Yuekang Li and Yuan Xu and Tianwei Zhang and Yang Liu and Martin Pinzger and Stefan Rass},
title = {{PentestGPT}: Evaluating and Harnessing Large Language Models for Automated Penetration Testing},
booktitle = {33rd USENIX Security Symposium (USENIX Security 24)},
year = {2024},
isbn = {978-1-939133-44-1},
address = {Philadelphia, PA},
pages = {847--864},
url = {https://www.usenix.org/conference/usenixsecurity24/presentation/deng},
publisher = {USENIX Association},
month = aug
}

ใบอนุญาต

เผยแพร่ภายใต้ใบอนุญาต MIT ดู LICENSE.txt สำหรับข้อมูลเพิ่มเติม เครื่องมือนี้มีวัตถุประสงค์เพื่อการศึกษาเท่านั้น และผู้เขียนไม่ยอมรับการใช้งานที่ผิดกฎหมาย ใช้เป็นความเสี่ยงของคุณเอง

ติดต่อผู้มีส่วนร่วม!

(กลับไปด้านบน)

ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด