更新内容
🔉一直卡开始AI会话解决问题(解决)
🔉几轮后会话token过大,导致AI无响应问题(解决)
🔉从AI生成http包改为定义模板的关键词替换
🔉AI请求右击可直接发送到重发器,方便复测
🔉AI提示词开放,可根据不同场景自定义修改AI提示词
🔉代码处理逻辑优化
工具安装配置
工具介绍:调用大模型API自动化生成bypass WAF的XSS代码。
这里将Chypass_pro我打包了两种格式,一个java8,一个java11,在github上进行了更新打包,大家自行下载哈【下载地址在最后面】。 导入插件后,先配置AI的APIkey,这里白天推荐使用qwen,不卡速度快,但是缺点是没有deepdeek的理解思维好,生成的payload有点乱,晚上建议使用deepdeek或者非高峰期,不然会很卡,交流几次后会GG,优点是提示词理解度高,生成的payload比较好。
工具使用
1、先配置AI的key 然后保存即可。
我这里使用的通义千问的max模型,plus模型感觉稍微有点拉。
2、将可能存在xss的数据包发送给Chypass_pro,然后在请求这边在疑似XSS的位置插入这个标签,然后点击保存模板(一定要保存)。
3、下一步,点击AI分析即可,AI会自己通过判断每轮会生成不同的payload,我们也可也查看AI分析内容,方便我们后续手工和学习。
4、我们可以对提示绕过waf的请求包右击,然后发送给重发器,然后我们就可以进行复测了(AI有时候生成的payload虽然可以绕过waf,但是不一定能正常触发,所以需要复测修改,例如下面)。
5、如果当前环境或者是当前payload生成效果不好,可以点击当前提示词,然后对默认提示词进行修改,然后选择保存提示词,保存后要点击清除全部记录,重新开始,这样的话后面的AI生成就会根据你新的提示词进行。
6、如果弹框如下,说明AI的回答的内容有问题或者是API卡死,需要清除全部内容后重新开始,其他报错弹框同理。
工具问题
🎃 大模型的API卡的问题
🎃 大模型一会正常一会乱回答导致程序运行报错
🎃 大模型提示词不完善,导致生成的payload质量低
🎃 大模型的随机性,有时候几条就可以出bypass的payload,有时候要好久都出不了
其他问题
下面是各个大模型的API接口地址或者是帮助文档,大家可以查看申请API,大部分都需提前充值一点才可以使用。
通义大模型API开通地址:https://help.aliyun.com/zh/model-studio/developer-reference/get-api-key?spm=a2c4g.11186623.help-menu-2400256.d_3_0.74b04823hb1bFN
deepseek开通地址:https://platform.deepseek.com/api_keysx
siliconflow:https://docs.siliconflow.cn/cn/api-reference/chat-completions/chat-completions
siliconflow有15元的免费试用额度,大家可以试用
项目地址
https://github.com/wxwhhh/Chypass_pro
原文始发于微信公众号(白昼信安):AI绕WAF - Chypass_pro2.0
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论