echo| 看我如何用chatgpt挖高危

  从chatgpt在国内镜像普及依赖,一直对他的代码能力深信不疑,刚好找到个机会这两天运用在日常渗透中。

0x00.给角色定位

 要让chat做事情，首先要很清晰地给他角色职责，比如我打点这抛给他一些代码，需要让他看下这些代码的特征。

0x01.抛接口

在第一步确定需求后，直接把发现的暴露接口和路由线索发给chat，

于是他返回了我想看到的一些特征

0x02. 后打点运用

实际打点中，我发现了某个上传接口需要file参数才能上传，但我并不知道这个file参数该如何构造

这里抛过后，他返回了一个name=file的构造

我尝试利用他的数据包，发包，

上传成功

0x03. 后打点运用2

背景:前几天参加了某src的项目，发现某数据接口存在大量敏感信息泄露，我想测试把信息保存到文本，看量大小

爬虫地址我设置为http://target.com/xxx

他首先返回了一段初步的代码

我发现他用的是soup，但我提取是xpath，于是我告诉他用xpath提取，不用soup

成功后，改进下代码，让他写个多线程加快速度

运行代码报错了，

我让他再改改，用多线程稳重写法，不要报错

最终需求，

运行，perfect，全程10分钟高效

所以，玩转chat的效率是确定好自己的需求，越具体越到位，灵活运营他的代码分析能力