基于AI对抗雷池waf [已开源]

2025年3月7日11:03:38评论13 views字数 684阅读2分16秒阅读模式

1
前言

本文没什么干货内容，主要是一些思考和小工具Chypass分享。

AI时代洪流，开源大模型能力的提升，对各行各业都带来了冲击，安全行业更是首当其冲。杀软、waf之类的早已接入了大模型，本文介绍一个从零实现的基于AI对抗的安全工具，其中95%以上由ai编写。

2
正文

本工具目前还只是一个初级版本，更多的是作为一个笔者作为一个安全从业者在AI洪流下思考的产物代表供各位师傅参考，行文仓促见谅，感谢大家观看

目前接入硅基流动、deepseek、kimi、通义千问，已经开源在github，地址在文末

以burpsuit插件形式来实现，页面见下图（测试目标使用个人vps无未授权行为）

首先在vps:8080接口搭建了一个pikachu靶场

上图是对一个没有waf的接口进行测试

实现过程也很简单，数据包发送给大模型的api接口，让它进行判断是否xss成功，是否被waf拦截

下面我们使用个人版雷池靶场（个人版也真的很好用）进行测试，映射在8882端口

带一些敏感字符串，<script>alert之类的就会被拦截

我们使用工具测试

可以基本识别是否xss成功以及是否被waf拦截

经过一段时间的测试，得到两个值得参考的结果

一个是img标签，一个是iframe标签

img标签没有进一步进展，只停留在了破碎图片

iframe标签在ai给出的payload基础上进一步利用

3
文末

本文写的比较仓促，更多的是在ai时代身为一个网安从业者的一些思考，欢迎各位师傅交流，非常感谢大家看到最后！

工具在公众号发送chypass或者2536即可

原文始发于微信公众号（只愿壹生爱壹人）：基于AI对抗雷池waf [已开源]

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

分享一批优质开源库和科技前沿辅助工具