基于AI自动绕过WAF的burp插件

2025年4月23日01:37:10评论2 views字数 877阅读2分55秒阅读模式

基于AI自动绕过WAF的burp插件

工具介绍

Chypass_pro是一个基于AI自动绕过WAF、完成XSS漏洞测试的Burp Suite扩展，调用AI自动化生成绕过WAF的XSS payload。本项目提供了以下两种打包格式。

Java 8 版本（适用于低版本 Burp 用户）Java 11+ 版本 请根据你的环境选择对应版本进行下载和使用。

插件已升级到Chypass_pro2.0版本，针对1.0出现的很多bug及其问题，对Chypass_pro进行了升级。

工具使用

1、抓包测试以宝塔 WAF 和 Pikachu 靶场为例，在靶场的 XSS 测试点抓包，初始发送包含 XSS 代码的请求后，可看到目标返回 403 被 WAF 拦截的响应。

2、发送给Chypass_pro将可能存在xss的数据包发送给Chypass_pro，然后在请求这边在疑似XSS的位置插入这个标签，然后点击保存模板(一定要保存)。

3、启动AI分析下一步，点击AI分析即可，AI会自己通过判断每轮会生成不同的payload，我们也可也查看AI分析内容，方便我们后续手工和学习。

4、查看结果我们可以对提示绕过waf的请求包右击，然后发送给重发器，然后我们就可以进行复测了(AI有时候生成的payload虽然可以绕过waf，但是不一定能正常触发，所以需要复测修改，例如下面)。

5、默认AI提示词调整

如果当前环境或者是当前payload生成效果不好，可以点击当前提示词，然后对默认提示词进行修改，然后选择保存提示词，保存后要点击清除全部记录，重新开始，这样的话后面的AI生成就会根据你新的提示词进行。

6、报错解决

如果弹框如下，说明AI的回答的内容有问题或者是API卡死，需要清除全部内容后重新开始，其他报错弹框同理。

下载地址

https://github.com/wxwhhh/Chypass_pro

文章来源：Hack分享吧

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

如侵权请私聊我们删文

END

原文始发于微信公众号（黑白之道）：基于AI自动绕过WAF的burp插件

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

XG_NTAI: Webshell免杀、流量加密传输工具 V2.5