第11天:基础入门-ChatGPT篇&注册体验&结合安全&融入技术&高效赋能&拓_笔记|web安全|渗透测试|网络安全_2023-2024
一、基础入门---ChatGPT篇&注册体验&结合安全&融入技术00:05
1. ChatGPT科普00:46
1)ChatGPT是什么01:26
- 英文全称: Generative Pre-training Transformer(预训练生成模型)
- 通俗理解:
- 聊天机器人+搜索工具+文本创造工具的组合
- 生成式AI(内容生成器)
- 核心特点:
- 基于AI技术的智能问答系统
- 采用"你问我答"的交互模式
- 理解自然语言问题的能力强于传统系统
2)ChatGPT能做什么01:42
- 基础功能
- 知识问答:
- 覆盖历史、科学、地理等广泛领域
- 示例:情感咨询(如"怎么找对象"、"怎么哄女朋友开心")
- 技术辅助:
- 渗透测试技术支持
- 安全领域问题解答
- 可替代部分人工指导(如"老师傅"角色)
- 知识问答:
- 技术优势
- 通用性:
- 通过提示词快速适应不同领域
- 引导越多,回答越精准
- 理解能力:
- 比人际沟通更智能
- 能处理模糊问题表述
- 实时响应无延迟
- 学习门槛:
- 降低技术入门难度
- 提供步骤化操作指导
- 安全行业影响
- 红队能力提升:
- 整合多种恶意软件技术
- 增强漏洞发现能力
- 赋能新手攻击者
- 攻防应用:
- 便于社会工程学攻击
- 快速筛选锁定目标
- 模拟网络防御技术
- 注册使用
- 必要准备:
- 科学上网(需全局模式,不支持HK)
- 可用电子邮箱/微软账户
- 国外手机验证码接收平台(推荐https://sms-activate.org/)
- 注册地址: https://chat.openai.com/chat
- 安全开发示例:
- Python编写JWT爆破脚本
- Webshell检测脚本开发
- MS17010漏洞检测实现
- PHP免杀混淆webshell开发
- 必要准备:
3)ChatGPT牛在哪里02:06
- ChatGPT的使用04:14
- 注册ChatGPT04:18
- 注册步骤05:27
- 必要准备:
- 科学上网工具(需全局模式,不支持香港节点)
- 可登录的电子邮箱或微软账户
- 国外手机验证码接收平台(推荐https://sms-activate.org/)
- 注册地址:https://chat.openai.com/chat
- 详细流程:
- 必要准备:
- 注册步骤05:27
- 注册ChatGPT04:18
-
-
-
-
-
- 通过科学上网访问注册页面
2. 选择Google或微软账户注册
3. 填写个人信息(姓名等)
4. 验证手机号码(需国外号码)
- 通过科学上网访问注册页面
-
-
-
-
-
-
-
-
-
- 在sms-activate.org购买虚拟号码(约1美元/7元人民币)
- 推荐选择美国号码(成功率较高)
- 在sms-activate.org购买虚拟号码(约1美元/7元人民币)
-
-
-
-
-
-
-
-
-
- 接收并输入验证码完成注册
-
-
-
-
-
-
-
- 注意事项:
- 必须使用全局代理模式,不能使用香港节点
- 国内手机号码无法接收验证码
- 邮箱推荐使用微软账户(注册简单)
- 购买虚拟号码时建议充值1美元(最低限额)
- 常见问题解决
- 验证失败原因:
- 代理问题:必须使用全局模式,推荐日本、韩国等节点
- 国家限制:部分国家号码可能无法接收验证码
- 余额不足:sms-activate平台需充值至少1美元
- 解决方案:
- 更换代理节点(非香港地区)
- 选择美国号码(成功率高)
- 确保sms-activate账户有足够余额
- 注意事项:
- ChatGPT功能特点
- 核心优势
- 通用性:
- 通过提示词引导可快速适应不同领域
- 理解能力强,引导越多回答越精准
- 安全行业影响:
- 整合多种恶意软件能力
- 提升漏洞发现效率
- 降低攻击门槛(赋能新手攻击者)
- 便于社会工程学攻击
- 快速筛选和锁定目标
- 模拟网络防御攻击技术
- 核心优势
- 登录使用ChatGPT12:21
- 登录方式:
- 使用注册时创建的账户登录
- 支持Google账户或微软账户登录
- 登录后即可开始使用ChatGPT进行问答
- 使用技巧:
- 问题描述越详细,回答越精准
- 支持中文问答
- 可应用于安全开发等领域(如编写爆破脚本、检测脚本等)
- 安全开发功能13:00
- ChatGPT注册准备
- 必要准备:
- 1.科学上网工具(需全局模式,不支持香港节点)
- 2.可登录的电子邮箱或微软账户
- 3.国外手机验证码接收平台(推荐https://sms-activate.org/)
- 4.注册地址:https://chat.openai.com/chat
- Python脚本开发
- 开发流程:
- 1.直接向ChatGPT提问具体脚本需求
- 2.获取完整开发步骤:从库导入到代码实现
- 3.包含详细代码注释和使用说明
- 4.支持多线程等高级功能实现
- JWT爆破脚本开发
- 实现步骤:
- 1.导入PyJWT等必要库
- 2.定义命令行参数(JWT令牌、字典文件路径)
- 3.加载字典文件进行爆破尝试
- 4.验证签名匹配情况
- 5.完整代码自动生成
- Webshell检测脚本
- 检测方法:
- 1.扫描web应用目录结构
- 2.识别可疑文件扩展名
- 3.检测常见危险函数调用
- 4.使用正则表达式匹配特征代码
- 5.输出检测结果并标记可疑文件
- MS17010漏洞检测
- 检测原理:
- 1.通过SMB协议445端口发送探测请求
- 2.分析响应判断漏洞存在性
- 3.支持多线程扫描
- 4.包含完整使用案例说明
- PHP免杀Webshell
- 实现技术:
- 1.使用base64编码混淆
- 2.变量名随机化处理
- 3.反射调用敏感函数
- 4.自定义加密算法(如XOR运算)
- 5.规避禁用函数限制的方法
- 加壳工具推荐
- 推荐工具:
- 1.Themida:商业级加壳工具,防调试能力强
- 2.VMProtect:虚拟机保护技术
- 3.UPX:开源可执行文件压缩工具
- 4.ASPack:商业加壳工具,支持多种防护机制
- 代码审计案例
- 常见漏洞:
- 1.命令注入漏洞(未过滤用户输入)
- 2.SQL注入漏洞(未转义参数)
- 3.文件上传漏洞(未校验文件类型)
- 4.反序列化漏洞(未校验输入数据)
- 5.修复建议:使用参数化查询、输入过滤等
- 日志分析技术
- 分析要点:
- 1.识别异常HTTP请求方法
- 2.检测可疑命令执行参数
- 3.追踪文件下载行为
- 4.关联IP地址威胁情报
- 5.典型攻击特征:rm -rf、wget等命令组合
- ChatGPT注册准备
-
-
二、校内安全知识
1. 课程定位
- 适用人群:适合初学者和网络安全爱好者
- 学习建议:初学者建议全面掌握基本知识和技能后再进行实践
- 能力要求:需要具备一定专业基础能力,不能完全依赖问答解决所有问题
2. 安全测试工具
- 工具类型:包括富强工具、手机验证码购买服务等
- 操作难度:注册过程简单,约10分钟即可完成
- 应用价值:对安全测试工作有较大帮助,特别是安全专业人员
- 使用注意:工具答案可能不规范,需要专业知识判断使用
3. 问答技巧
- 提问原则:
- 避免提出基础性问题(如"怎么租车都不会")
- 问题应具体明确,减少理解差异
- 接受专业领域存在知识盲区
- 学习态度:不应期望通过问答掌握全部知识
4. 情感问题案例
- 案例背景:被拒绝单独约会的情况处理
- 错误应对:
- 持续纠缠会被视为"舔狗"行为
- 被动接受可能维持不平等关系
- 建议方案:
- 适度保持联系但不强求
- 转移注意力到其他事务
- 理解拒绝是正常社交反馈
5. 课程安排
- 下节内容:技术部门信息收集相关课程
课程性质:补充课程内容,不列入正式考核范围
- 注:本笔记根据课程实际内容整理,重点保留了教师讲解中的关键知识点、案例分析和实用建议,采用结构化方式呈现以便复习使用。涉及敏感内容已做教学化处理,实际应用时需遵守相关法律法规。
三、知识小结
| 知识点 | 核心内容 | 考试重点/易混淆点 | 难度系数 |
| ChatGPT注册与使用 | 需科学上网(非香港节点)、国外手机验证码(解码平台购买)、微软/Google账号注册流程 | 全局代理模式要求、验证码接收平台选择 | ⭐⭐ |
| 安全开发辅助 | 自动生成Python脚本(JWT爆破、WebShell检测、MS17-010漏洞检测) | 免杀脚本提问技巧(需规避敏感词,如强调"靶场测试") | ⭐⭐⭐ |
| 逆向与代码审计 | 反编译工具推荐(APK)、ThinkPHP历史漏洞分析、代码片段审计方法 | 单段代码漏洞分析的局限性(需完整上下文) | ⭐⭐⭐⭐ |
| 蓝队/红队应用 | 威胁感知平台(IDS/IPS)、日志分析(恶意请求识别)、C2流量加密技术 | 社会工程学邮件模板生成(需合法用途声明) | ⭐⭐⭐ |
| 渗透测试报告 | 简历模板生成、渗透测试报告框架(漏洞描述/修复建议) | 自动化输出与人工验证的平衡 | ⭐⭐ |
| 非技术问题处理 | 情感问题话术建议(如委婉拒绝应答)、密码字典生成规则 | 答案可靠性依赖提问表述(如"评价小迪培训"结果偏差) | ⭐ |