AI绕WAF - Chypass_pro2.0

admin 2025年3月12日20:58:02评论29 views字数 1523阅读5分4秒阅读模式
Chypass_pro2.0版本,针对1.0出现的很多bug及其问题,对Chypass_pro进行了升级。

更新内容

🔉一直卡开始AI会话解决问题(解决)

🔉几轮后会话token过大,导致AI无响应问题(解决)

🔉从AI生成http包改为定义模板的关键词替换

🔉AI请求右击可直接发送到重发器,方便复测

🔉AI提示词开放,可根据不同场景自定义修改AI提示词

🔉代码处理逻辑优化

工具安装配置

工具介绍:调用大模型API自动化生成bypass WAF的XSS代码。

AI绕WAF - Chypass_pro2.0

这里将Chypass_pro我打包了两种格式,一个java8,一个java11,在github上进行了更新打包,大家自行下载哈【下载地址在最后面】。 导入插件后,先配置AI的APIkey,这里白天推荐使用qwen,不卡速度快,但是缺点是没有deepdeek的理解思维好,生成的payload有点乱,晚上建议使用deepdeek或者非高峰期,不然会很卡,交流几次后会GG,优点是提示词理解度高,生成的payload比较好。

工具使用

1、先配置AI的key 然后保存即可。

AI绕WAF - Chypass_pro2.0

我这里使用的通义千问的max模型,plus模型感觉稍微有点拉。

2、将可能存在xss的数据包发送给Chypass_pro,然后在请求这边在疑似XSS的位置插入这个标签,然后点击保存模板(一定要保存)。

AI绕WAF - Chypass_pro2.0
AI绕WAF - Chypass_pro2.0

3、下一步,点击AI分析即可,AI会自己通过判断每轮会生成不同的payload,我们也可也查看AI分析内容,方便我们后续手工和学习。

AI绕WAF - Chypass_pro2.0

4、我们可以对提示绕过waf的请求包右击,然后发送给重发器,然后我们就可以进行复测了(AI有时候生成的payload虽然可以绕过waf,但是不一定能正常触发,所以需要复测修改,例如下面)。

AI绕WAF - Chypass_pro2.0
AI绕WAF - Chypass_pro2.0

5、如果当前环境或者是当前payload生成效果不好,可以点击当前提示词,然后对默认提示词进行修改,然后选择保存提示词,保存后要点击清除全部记录,重新开始,这样的话后面的AI生成就会根据你新的提示词进行。

AI绕WAF - Chypass_pro2.0

6、如果弹框如下,说明AI的回答的内容有问题或者是API卡死,需要清除全部内容后重新开始,其他报错弹框同理。

AI绕WAF - Chypass_pro2.0

工具问题

🎃 大模型的API卡的问题

🎃 大模型一会正常一会乱回答导致程序运行报错

🎃 大模型提示词不完善,导致生成的payload质量低

🎃 大模型的随机性,有时候几条就可以出bypass的payload,有时候要好久都出不了

其他问题

下面是各个大模型的API接口地址或者是帮助文档,大家可以查看申请API,大部分都需提前充值一点才可以使用。

通义大模型API开通地址:https://help.aliyun.com/zh/model-studio/developer-reference/get-api-key?spm=a2c4g.11186623.help-menu-2400256.d_3_0.74b04823hb1bFNdeepseek开通地址:https://platform.deepseek.com/api_keysxsiliconflow:https://docs.siliconflow.cn/cn/api-reference/chat-completions/chat-completionssiliconflow有15元的免费试用额度,大家可以试用
最后一点:payload的生成质量和大模型的数据样本、AI提示词直接挂钩,所以尽可能使用代码模型及样本较多的模型,此外不同场景,可以修改插件中的默认提示词,增加payload生成的质量和绕过率。

项目地址

https://github.com/wxwhhh/Chypass_pro

原文始发于微信公众号(白昼信安):AI绕WAF - Chypass_pro2.0

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月12日20:58:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   AI绕WAF - Chypass_pro2.0https://cn-sec.com/archives/3834088.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息