2023年最受欢迎​​的渗透测试工具（7）- 支持 GPT 的渗透测试工具

快速开始

1. 如有必要，创建虚拟环境。( virtualenv -p python3 venv, source venv/bin/activate)
2. 安装项目pip3 install git+https://github.com/GreyDGL/PentestGPT
3. 确保您已将付款方式链接到您的 OpenAI 帐户。导出您的 API 密钥export OPENAI_KEY='<your key here>'
4. 测试连接pentestgpt-connection
5. 对于 Kali 用户：用作tmux终端环境。您只需tmux在本机终端中运行即可完成此操作。
6. 开始：pentestgpt --logging

入门

• PentestGPT是一款由ChatGPT授权的渗透测试工具。
• 它旨在自动化渗透测试过程。它构建在ChatGPT之上，以交互方式运行，指导渗透测试人员进行整体进度和具体操作。
• PentestGPT能够解决简单到中等的 HackTheBox 机器以及其他 CTF 挑战，resources我们使用它来解决 HackTheBox 挑战模板（网络挑战）。

安装

PentestGPT目前支持ChatGPT和OpenAI API的后端。您可以使用其中任何一个。我们正在努力支持定制本地法学硕士模型。

1. 安装最新版本pip3 install git+https://github.com/GreyDGL/PentestGPT
   • git clone https://github.com/GreyDGL/PentestGPT
   • cd PentestGPT
   • pip3 install -e .
2. • 您也可以将项目克隆到本地环境并安装以更好地定制和开发
3. 使用 OpenAI API
   • 确保您已将付款方式链接到您的 OpenAI 帐户。
   • 导出您的 API 密钥export OPENAI_KEY='<your key here>'
   • 测试连接pentestgpt-connection
4. 要验证连接配置是否正确，您可以运行pentestgpt-connection. 一段时间后，您应该会看到一些与 ChatGPT 的示例对话。
   

   You're testing the connection for PentestGPT v 0.11.0#### Test connection for OpenAI api (GPT-4)1. You're connected with OpenAI API. You have GPT-4 access. To start PentestGPT, please use <pentestgpt --reasoning_model=gpt-4>#### Test connection for OpenAI api (GPT-3.5)2. You're connected with OpenAI API. You have GPT-3.5 access. To start PentestGPT, please use <pentestgpt --reasoning_model=gpt-3.5-turbo-16k>

   • 注意：如果您尚未将付款方式链接到您的 OpenAI 帐户，您将看到错误消息。
5. • 下面是示例输出
6. ChatGPT cookie 解决方案已弃用且不推荐。您仍然可以通过运行来使用它
   

   pentestgpt --reasoning_model=gpt-4 --useAPI=False。

用法

1. 1. 建议您运行：

      • （推荐）-pentestgpt --reasoning_model=gpt-4-turbo使用最新的 GPT-4-turbo API。
      • pentestgpt --reasoning_model=gpt-4如果您有权访问 GPT-4 API。
      • pentestgpt --reasoning_model=gpt-3.5-turbo-16k如果您只能访问 GPT-3.5 API。

   2. 要开始，请运行pentestgpt --args.

      • --help显示帮助消息
      • --reasoning_model是您要使用的推理模型。
      • --parsing_model是您要使用的解析模型。
      • --useAPI是是否要使用OpenAI API。默认情况下它设置为True。
      • --log_dir是自定义的日志输出目录。该位置是相对目录。
      • --logging定义您是否愿意与我们共享日志。默认情况下它设置为False。

   3. 该工具的工作原理与msfconsole类似。按照指导执行渗透测试。

   4. 一般来说，PentestGPT 接收的命令与 chatGPT 类似。有几个基本命令。

      • tool：所使用的安全测试工具的输出
      • web：网页的相关内容
      • 默认：无论你想要什么，该工具都会处理它
      • user-comments : 用户对 PentestGPT 操作的评论
   5. • help：显示帮助信息。
      • next：输入测试执行结果并进行下一步。
      • more：让PentestGPT解释一下当前步骤的更多细节。此外，还将创建一个新的子任务求解器来指导测试人员。
      • todo：显示待办事项列表。
      • discuss: 与PentestGPT讨论。
      • google: 谷歌搜索。该功能仍在开发中。
      • quit：退出工具并将输出保存为日志文件（请参阅下面的报告部分）。
   6. 1. 命令是：
      2. 您可以使用 <SHIFT + 向右箭头> 结束输入（适用于下一行）。
      3. 您可以始终使用TAB自动完成命令。
      4. 当您看到下拉选择列表时，您可以使用光标或箭头键来导航该列表。按ENTER选择项目。同样，使用 <SHIFT + 向右箭头> 确认选择。
         用户可以提交以下信息：

   7. 在 启动的子任务处理程序中more，用户可以执行更多命令来调查特定问题：

      • help：显示帮助信息。
      • brainstorm：让 PentestGPT 在本地任务上集思广益，寻找所有可能的解决方案。
      • discuss：与 PentestGPT 讨论这个本地任务。
      • google: 谷歌搜索。该功能仍在开发中。
      • continue：退出子任务并继续主测试会话。

项目地址：

https://github.com/GreyDGL/PentestGPT

 

原文始发于微信公众号（TtTeam）：2023年最受欢迎​​的渗透测试工具（7）- 支持 GPT 的渗透测试工具