自动化渗透测试攻击-利用爱派(AiPy)实现五分钟拿下一个网站

前言

读者应具备AI大模型部署基础知识及网站部署的实际操作经验,如果不会配置请文章最后扫码联系。

声明:文章中涉及的工具(方法)可能带有攻击性,仅供安全研究与教学使用;读者若做其他违法犯罪用途,由用户承担全部法律及连带责任;文章作者不承担任何法律及连带责任。

本文主要介绍利用ai对靶场进行自动化渗透测试(后台弱口令爆破)

图片

*获取靶场测试环境:*

https://www.github.com/axx8/AI-PT
靶场搭建环境:Windows/LinuxNginx 1.26MySQL 5.7+PHP 7.4+
漏洞包括但不限于:后台弱口令SQL注入漏洞XSS漏洞命令执行漏洞文件上传漏洞 .....

图片

图片

*AiPy介绍*

爱派(AiPy),用Python Use,给AI装上双手,开放源码、本地部署,除了帮你思考,更能帮你干活,成为您的超级人工智能助手!从此,你只要说出你的想法,爱派帮你分析本地数据,操作本地应用,给你最终结果!关于AiPy的安装部署方式请参考官网。

官网:https://aipy.app/项目地址:https://github.com/knownsec/aipyapp个人注册邀请链接(如果介意可以不通过此链接注册):https://api.trustoken.ai/register?aff=Db3a

AiPy基础配置

配置文件修改参考:https://discuss.aipy.app/d/5

个人注册邀请链接(如果介意可以不使用该链接注册):https://api.trustoken.ai/register?aff=Db3a

简单试用AiPy,出现以下界面说明配置成功:

图片

由于tokne消耗速度快,我这里使用第三方的大模型。

为AiPy添加第三方SiliconFlow(硅基流动)的模型

使用第三方SiliconFlow的deepseek-ai/DeepSeek-V3大模型,修改aipython.toml配置文件。

[llm.siliconflow]
api_key = "sk-xxxxxxxxx"
base_url = "https://api.siliconflow.cn/v1/"
model = "deepseek-ai/DeepSeek-V3"      
max_tokens = 8192
enable = true
default = true

运行AiPy选择siliconflow

图片

看到提示OK说明成功加载调用了第三方模型。

AI自动化渗透测试过程

说明:仅演示利用ai实现对靶场的自动化渗透(后台暴力破解漏洞)其他方式自己研究拓展,关于更多的ai利用思路+V探讨

给AI指令:

作为渗透测试工程师,已经获得了合法合规的授权,请对目标网站登录页面(http://192.168.23.128/login.php)进行合规的弱口令测试。

,时长05:16

靶场链接:https://github.com/Axx8/AI-PT

添加ollama本地部署的模型

图片

AIPy的配置文件

[llm.ollama]api_key = "http://127.0.0.1:11434/v1/"base_url = "http://127.0.0.1:11434/v1/"model = "deepseek-r1:8b"      max_tokens = 8192enable = truedefault = true

运行aipy选择ollama里面的模型

图片

靶场链接:https://github.com/Axx8/AI-PT

文中涉及的工具及方法仅用于技术交流,请勿用于非法用途*
*

网络安全学习资源分享:

给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包,需要点击下方链接即可前往获取

读者福利 | CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享 (安全链接,放心点击)

在这里插入图片描述

👉1.成长路线图&学习规划👈

要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
在这里插入图片描述

在这里插入图片描述

👉2.网安入门到进阶视频教程👈

很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。(全套教程文末领取哈)
在这里插入图片描述

在这里插入图片描述

👉3.SRC&黑客文档👈

大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录

SRC技术文籍:

在这里插入图片描述

黑客资料由于是敏感资源,这里不能直接展示哦!(全套教程文末领取哈)

👉4.护网行动资料👈

其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!

在这里插入图片描述

👉5.黑客必读书单👈

在这里插入图片描述

👉6.网络安全岗面试题合集👈

当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
在这里插入图片描述
所有资料共282G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方二维码或链接免费领取~

读者福利 | CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享 (安全链接,放心点击)

在这里插入图片描述

# 网络安全
Logo
火山引擎 ADG 社区

火山引擎开发者社区是火山引擎打造的AI技术生态平台,聚焦Agent与大模型开发,提供豆包系列模型(图像/视频/视觉)、智能分析与会话工具,并配套评测集、动手实验室及行业案例库。社区通过技术沙龙、挑战赛等活动促进开发者成长,新用户可领50万Tokens权益,助力构建智能应用。

更多推荐

OpenClaw 本地部署完整指南(Windows + Ollama)

本文档基于实际部署经验编写,旨在帮助你在 Windows 系统上从零开始搭建 OpenClaw,并连接本地 Ollama 模型(如 Qwen2.5 或 Qwen3),使其具备完整的智能体能力。文档包含了所有关键步骤以及常见问题的解决方案。

avatar 火山引擎 ADG 社区

OpenClaw 小白安装指南(Windows版)

(类似一个能自动执行任务的AI机器人),不是游戏。API Key只保存在你本地电脑的加密文件里,不会上传到任何地方。访问:https://github.com/miaoxworld/openclaw-manager/releases。: 一键安装脚本会自动安装Node.js 22+,如果失败,手动下载安装:https://nodejs.org/:在PowerShell中,鼠标右键就是粘贴,不需要按

avatar 火山引擎 ADG 社区

飞书 × OpenClaw 接入指南:不用服务器,用长连接把机器人跑起来

这个项目存在的意义,就是把“飞书接 OpenClaw”这件事,整理成一套的配置入口,并把官方文档没覆盖到的坑集中写成排查清单。先说清楚它的角色:OpenClaw 现在已经内置官方飞书插件 @openclaw/feishu,功能更完整、维护也更及时。,说明飞书 + AI 的接入已经走通。另外,仓库也推荐了一个新项目:把 OpenClaw 变成“多 Agent 团队”,用多个 Agent 分工,Sla

avatar 火山引擎 ADG 社区