сканер ИИ в Пентесте: Автоматизированный Веб-Сканер с Интеграцией ИИ

[hackeryaroslav]

В последнем обновлении сканера был улучшен дизайн отчетов и добавлена функцию сохранения API-ключа. Теперь отчеты более структурированы, а API-ключ сохраняется после первого ввода, что упрощает будущие сеансы сканирования. Также чуть улучшил дизайн в консоли. Ждите следующего обновления, друзья

 

[shuja1337]

To integrate them, we need to download models that are over 20 GB, which may not be comfortable for others.

well no the model is like 3.8 GB you can use a smaller or a bigger one

https://ollama.com/library/llama2/tagshttps://ollama.com/library/llama2/tags

 

[nottse2]

BASIC

 

[hackeryaroslav]

BASIC

почему бы тебе не написать лучше проект и показать?

 

[hackeryaroslav]

well no the model is like 3.8 GB you can use a smaller or a bigger one

https://ollama.com/library/llama2/tagshttps://ollama.com/library/llama2/tags

do you think that an average user will download my project with 4gb model just to test it and his computer characteristics will satisfy that?

 

[shuja1337]

do you think that an average user will download my project with 4gb model just to test it and his computer characteristics will satisfy that?

if someone want to they would

 

[hackeryaroslav]

if someone want to they would

you might have a point, but the key word is "someone"

 

[Kirigaya]

Подскажи пожалуйста, правильно ли я понял что ссылка на прокси должна быть в следующем формате?
# proxies = {
# "http": "http://your-http-proxy",
# "https": "https://raw.githubusercontent.com/MuRongPIG/Proxy-Master/main/http.txt",
# }

 

[hackeryaroslav]

Просто указывай прямые URL прокси-серверов, которые нужно использовать для HTTP и HTTPS соединений соответственно.

То есть код просто примет указанные URL как URL прокси-серверов для установления соединения, не пытаясь извлечь список прокси из ссылки.

Подскажи пожалуйста, правильно ли я понял что ссылка на прокси должна быть в следующем формате?
# proxies = {
# "http": "http://your-http-proxy",
# "https": "https://raw.githubusercontent.com/MuRongPIG/Proxy-Master/main/http.txt",
# }

 

[Kirigaya]

Я почему то подумал, что можно в многопотоке с разных проксей работать))

 

[wishmaster]

отличный проект,желаю дальнейшего развития

 

[Underwood]

Почему-то выдает что не может найти файлы txt, но при этом они есть в папке и он сам их создал.

 

[CoderHack]

Почему-то выдает что не может найти файлы txt, но при этом они есть в папке и он сам их создал.

и у меня тоже самое

 

[doesenemo]

same

и у меня тоже самое

 

[hackeryaroslav]

Согласен, Shaurmist25

Голосуем за своего фаворита https://xss.pro/threads/110015/#post-769198

 

[doesenemo]

"sqlmap": {
"cmd": "sqlmap",
"args": ["--batch", "--random-agent", "--level", "5", "--risk", "3", "-u"],

пофиксил баг с sqlmap

 

[fullzhouse]

would love to see PEASS-ng suite with AI model under the hood! Not exactly your topic, but in case you need inspiration for the next project

 

[hackeryaroslav]

gh

Почему-то выдает что не может найти файлы txt, но при этом они есть в папке и он сам их создал.


Посмотреть вложение 77819

привет. У меня все отлично отработало. Убедись, проект у тебя в папке проекта и ты не вытаскивал файлы в папку кали, они генерируются в рут директории. Скан провел, ИИ дал прекрасный фидбек и отпут тулз в отчете прошел успешно. Обновления я не делаю в слепую, а тщательно тестирую перед выпуском сюда. Перепроверь все тщательно.

 

[hackeryaroslav]

v1.2
Устранил проблему с инструментом SQLMap (спасибо doesenemo ) в нашем сканере. Кроме того, внедрил новую функцию, которая позволяет пользователям сохранять и загружать конфигурации сканирования. Это позволит пользователям, которые часто выполняют сканирование с одними и теми же настройками, более эффективно использовать свои конфигурации без необходимости каждый раз вводить их заново. Сделал рефактор кода.

Буду рад идеями для следующего обновления, в особенности, хочу услышать Desoxyn (заранее извиняюсь за тег, если беспокоит). Код ниже, пропишите хелп чтобы увидеть новые аргументы, который я добавил. Всем спасибо кто поддерживает. Тема ИИ + Пентест заходит на форуме, и будет только расти, ведь пока ИИ медленно в него внедряется

Прошу вас голосовать в конкурсе за своего фаворита, надеюсь вам мой проект зашел)

 

[Desoxyn]

hackeryaroslav зря тегаешь, я ж ранее уже высказал свое мнение. Мне особо нечего к нему добавить. Чтобы что то комментировать, надо тему отслеживать. Я этого не делал, банально нет времени.
Сейчас вон голосовалка к концу походит, я даже с половиной статей не ознакомился (чем сейчас и занимаюсь, в процессе работы). Наобум голосовать не хочу.

Да и что тут советовать? Тут надо учитывать особенности каждого интегрированного софта и их нюансы, для наиболее продуктивной работы в связке, а не просто пихать в конфиг самые популярные кеи под каждый. У каждого таргета свой сетап, свои особенности. Ты всё хочешь в кучу собрать, без индивидуального подхода. Это на стопицот отдельных статей тянет, а не на советы, это ваще огромная работа.

Ну хз, вот первое, что в голову пришло, раз ты используешь nmap - используй хотя бы NSE
Вот тут скриптов небольшая "сборочка", на все случаи жизни Что я имею ввиду... Возьмем первые попавшиеся, которые (образно) подходят нам:

только делать так НЕ НАДО, это непродуктивно, это ваще от балды и на ходу )

Запускаем с кеями nmap -sV -v --script=vulners.nse target для примерно вот такой выдачи

и/или nmap -sV -v --script=vulscan/vulscan.nse target (тут даже скринить не буду, оxyеешь от выдачи).

Парсим все CVE-ID , пихаем их в SploitScan : python sploitscan.py CVE-YYYY-NNNNN CVE-YYYY-NNNNN ... -e json
все, на которые есть exp\poc - он найдет, сграбит в файл ---> парсим его, включаем в отчет. Какой промпт тут для анализа писать и нужен ли он тут вообще - в душЕ не eбу Но может попасться и рабочий.

Я еще раз повторюсь, именно так делать не надо по многим причинам (куча мусора, актуальность, кпд ~ 2-5%, etc). Однако может тебя натолкнет на какие то мысли, ибо скриптов там до жопы + софтов еще куча, которые могут с выдачей нмапа и ее анализом наиболее продуктивно взаимодействовать. И это только про nmap.

+ Ранее писал убери nikto, это говно, подкинь Nuclei . Там вообще будет море инфы, если начать советовать. Ну и по факту, ты изобретаешь даже не велосипед, а колесо (опять повторяюсь, старею )

В общем долго тут можно расписывать. Тут уже ТЗ целое будет, это не ко мне вопрос. Пока всё еще очень очень сыро. Если после конкурса продолжишь развивать идею, может что и накидаю. Но я в этом не уверен, тут предстоят многие месяцы работы для внятных результатов, легче применять соответствующие целям софты и задействовать ИИ по отдельности\необходимости, а не использовать комбайн. Весь твой (даже предполагаемый) фукнционал уже реализован давно, о чем я так-же писал в теме ранее.
В любом случае - хорошее начинание. Главное, не про...теряй мотивацию. На данный момент мотивация - денежка с конкурса. А потом?