当前大模型非常擅长分析大量数据,而且一般来说模型可处理的输入token数量是输出token数量的几倍.
内网渗透过程中通常会收集到到大量信息,如果能让大模型帮助分析这些收集到的数据,指出下一步渗透的目标或提取出有价值的信息,是一个可行的方向.
之前就一直有这个想法,但是一直没有下决心去实现,今天跟两位红队大佬交流了一下,大家都觉得可行性很高,后续就是考虑实现细节和架构设计了.
在不考虑免杀的情况下,收集的信息:
Windows
第一阶段
本机sysinfo信息/进程列表/网络连接列表/桌面文件列表/安装软件列表
第二阶段
浏览器历史记录/浏览器密码/各种软件的密码
Linux
第一阶段
网络连接/进程列表/登录日志/history log/运行环境(docker?)/环境变量
第二阶段
关键目录的文件列表/配置文件信息等
有了这些信息之后就是调试prompt了,这个有两个方向
-
提示词指示尽量开放,让AI来根据数据来自己分析那些有价值,比如 "根据以上收集到的分析,下一步渗透目标是什么" -
提示词指出CoT,比如"从网络连接分析那些进程连接内网,那些连接外网,内网可能的网段是什么,"
预计在下一个版本发布一个初版的Agent.