使用ChatGPT进行Bug Bounty
使用ChatGPT进行Bug Bounty
前言
最近ChatGPT比较火,很多人用它来做非常多的事情,比方说充当linux终端,翻译,充当js控制台,美食评论家。。。具体可以参考文末第一个链接,
今天我们要谈的是如何利用这个机器人来进行bug bounty,毕竟这个系统的后台有万亿级别的数据,要利用起来啊
准备工作
国内不会用的这里给出下面三个镜像:
https://gpt.chatapi.art/
https://chatgpt.menubarx.app/
https://chat.bygpt.com/
没国外手机的这里推荐一个jiema平台(sms-activate.org),只需几块钱即可,具体怎么注册这里不展开,网上搜搜一堆教程,下面来进入主题.
完整的界面如下:
代码审计
ChatGPT 可以帮助您确定一段代码是否包含安全漏洞,并以简单的语言对其发现提供清晰的解释。
这是Mazin Ahmed在小蓝鸟上分享的一个例子(检测代码示例中的 XSS 漏洞):
Abhay Bhargav 分享过一个tip(主要是如何检测潜在的安全漏洞)
创建虚拟机
科学家Jonas Degrave使用 ChatGPT如何在 Web 浏览器中创建虚拟 Linux 终端(文末第二篇参考)。
编写自动化脚本
Youssef A. Mohamed发布过一个示例:
做你bugbounty路上的导师
Kanhaiya Sharma询问过一个问题,如下所示:
Mike Takahashi提问过一个xss的payload问题:
目录暴力破解
知名赏金猎人payloadartist使用ChatGPT创建了一个目录 暴力破解工具(文末第三个链接)
创建Burp Suite插件
Rez0使用 ChatGPT 创建 Burp Suite 插件!
创建nuclei模板
ChatGPT 可以让你知道特定技术栈的指纹,这样就可以制作相对应的 Nuclie 模板
Discord 侦察机器人
使用 ChatGPT 在几秒钟内创建一个discord recon 机器人(文末第四个链接)。
xss的payload生成器
Rez0使用 ChatGPT 创建 XSS 负载生成器:
javascript 混淆还原
PwnFunction展示了一个例子:
正则表达式
写工具
Debangshu展示了在 ChatGPT 的帮助下,写了另外一个版本的dirsearch:
OTP 暴力破解
Mehmet INCE在 ChatGPT 的帮助下创建了一个 OTP bruteforcer。
写漏洞报告
使用 ChatGPT,可以轻松编写漏洞赏金报告
参考
https://github.com/f/awesome-chatgpt-prompts
https://www.engraved.blog/building-a-virtual-machine-inside/
https://github.com/payloadartist/offensive-chatgpt
https://www.cyberick.com/post/creating-your-own-recon-discord-bot-using-chatgpt