导语:网络侦察是渗透测试的第一步,而Nmap是这项工作的行业标准工具。但Nmap拥有上百个参数和选项,学习曲线陡峭。ShellGPT的出现彻底改变了这一局面——它能将自然语言直接转换为精确的Nmap命令,让任何人都能执行高级网络扫描。本文将深入演示如何通过ShellGPT执行26种不同的网络侦察操作。
一、ShellGPT简介与安装配置
ShellGPT是一款AI命令行助手,能够理解自然语言描述的用户意图,并生成对应的Shell命令语句。对于安全从业者而言,ShellGPT最大的价值在于:用户只需描述扫描目标,AI即可生成精确的Nmap命令并执行。
安装前提
使用ShellGPT前需要准备以下环境:
- Linux操作系统(本文演示环境为Kali Linux)
- Python 3.x运行环境
- OpenAI API密钥(用于GPT模型驱动)
- Nmap已安装并可正常执行
安装步骤
安装流程非常简洁,通过pip即可完成部署:
# 从PyPI安装ShellGPT
pip install shellgpt
# 配置API密钥(替换为您的OpenAI密钥)
export OPENAI_API_KEY="your-api-key-here"
# 验证安装是否成功
sgpt --version配置完成后,ShellGPT即可作为系统命令调用,支持--chat交互模式、--shell执行模式以及管道输入模式三种主要使用方式。
二、ShellGPT基础使用模式
2.1 交互式聊天模式
交互模式启动一个会话式的AI对话环境,适合探索性任务和命令学习:
# 启动交互式会话
sgpt --chat scan
# 在会话中输入自然语言描述
Run a ping sweep on 192.168.1.0/242.2 单次命令执行模式
单次执行模式直接将自然语言转换为一条可执行命令,适合脚本化使用:
# 单次执行模式
sgpt --shell "Scan top 100 ports on 192.168.1.15"2.3 管道输入分析模式
管道模式允许将命令输出直接发送给ShellGPT进行AI分析,实现工作流整合:
# 将扫描结果通过管道发送给ShellGPT分析
cat scan.txt | sgpt "Analyze the attack surface and suggest next steps"三、基础网络扫描演示
3.1 主机发现
主机发现是网络侦察的第一步。ShellGPT将自然语言转换为Nmap的主机发现参数:
sgpt --chat scan --shell "Run a ping sweep on 192.168.1.0/24"执行后,ShellGPT生成并运行nmap -sn 192.168.1.0/24命令,扫描结果显示同一C段内发现6台活跃主机。-sn参数告知Nmap跳过端口扫描,仅进行主机发现探测。
3.2 快速端口扫描
对单个主机进行端口扫描时,ShellGPT会自动选择合适的扫描参数:
sgpt --chat scan --shell "Scan 192.168.1.15 for open ports"ShellGPT生成nmap 192.168.1.15命令,执行默认的端口扫描策略。该扫描覆盖1000个常用端口,可在数秒内完成。
3.3 T4定时模板扫描
T4定时模板代表”激进但快速”的扫描策略,适用于实验室环境:
sgpt --chat scan --shell "Run a fast timing template scan on 192.168.1.15 using Nmap"
启用T4模板后,Nmap在0.75秒内完成了对目标192.168.1.15的全端口扫描,枚举出23个开放服务,包括MySQL、PostgreSQL、VNC、X11和AJP13等。T4模板是实验室环境的实用默认值;在生产环境中,T3或更低模板可降低IDS检测风险,但会延长扫描时间。
四、高级扫描技术
4.1 激进扫描
激进扫描通过单个flag组合四种能力:OS检测(-O)、版本检测(-sV)、脚本扫描(-sC)和路由追踪:
sgpt --chat scan --shell "Aggressive Scan 192.168.1.9 for open ports using Nmap"
扫描结果非常详尽:FTP服务(vsftpd 3.0.5)允许匿名登录,ftp-anon脚本以”ftp”身份登录pub目录并记录会话横幅;SSH服务返回ECDSA和ED25519主机密钥指纹;Apache在80端口返回403 Forbidden响应;rpcbind脚本完整枚举了RPC程序表,暴露了NFS、mountd、nlockmgr和status程序;Samba smbd 4同时监听139和445端口。一次扫描即可获得匿名FTP入口、详细的SSH身份信息以及完整的RPC服务映射。
4.2 NSE漏洞扫描
ShellGPT直接将漏洞扫描意图转换为NSE脚本调用,用户无需记忆具体脚本名称:
sgpt --chat scan --shell "Run an Nmap vulnerability scan on 192.168.1.15"
漏洞扫描脚本类别对每个开放端口运行所有已安装的漏洞检测NSE脚本,发现三个关键问题:
第一,vsftpd 2.3.4后门(CVE-2011-2523):被标记为VULNERABLE且Exploitable状态,脚本执行id命令后收到uid=0(root) gid=0(root)响应,确认可远程执行root代码,无需进一步利用开发。
第二,SSL POODLE(CVE-2014-3566):在25端口确认VULNERABLE状态,任何SSL 3.0会话都面临CBC填充 oracle解密攻击风险。
第三,匿名Diffie-Hellman密钥交换中间人漏洞:SMTP服务存在此漏洞,密码套件TLS_DH_anon_WITH_RC4_128_MD5使用1024位模数,提供零身份验证,允许中间人完全破坏会话机密性和完整性。
4.3 HTTP服务枚举
使用ShellGPT调用http-enum NSE脚本,对目标HTTP服务进行暴力路径枚举:
sgpt --chat scan --shell "Enumerate HTTP services on 192.168.1.15 using Nmap NSE scripts"
脚本在80端口发现7个路径:/tikiwiki/(Tikiwiki CMS)、/test/(测试页面)、/phpinfo.php(PHP配置泄露)、/phpMyAdmin/(数据库管理界面)、/doc/(Apache 2.2.8目录列表,启用了DAV/2)、/icons/(目录列表)和/index/(目录列表)。每个路径都是独立的攻击向量:phpinfo.php泄露完整PHP和服务器配置;phpMyAdmin直接暴露数据库层;/doc/上的WebDAV可能允许任意文件上传。整个枚举在1.38秒内完成,无需任何手动浏览器请求即可映射整个Web应用表面。
4.4 SMB共享与服务枚举
针对445端口的SMB服务进行共享名称和操作系统元数据提取,无需认证:
sgpt --chat scan --shell "Enumerate SMB shares and SMB OS details on 192.168.1.15"
smb-os-discovery脚本识别出主机运行Samba 3.0.20-Debian,计算机名为metasploitable,FQDN为metasploitable.localdomain。smb-enum-shares脚本枚举出五个共享:ADMIN$(IPC)、IPC$(匿名读写)、opt(磁盘,无匿名访问)、print$(打印机驱动,无匿名访问)和tmp(磁盘,匿名读写)。IPC$和tmp共享都允许无认证读写访问——IPC$可用于空会话攻击,tmp共享可作为有效载荷投递的暂存区。
4.5 SSH算法与主机密钥审计
对SSH服务配置进行审计,识别可能存在利用价值的弱加密算法:
sgpt --chat scan --shell "Enumerate SSH algorithms and SSH information on 192.168.1.15"
ssh-auth-methods脚本确认服务器同时接受公钥和密码认证——密码方法直接容易遭受暴力攻击。ssh2-enum-algos脚本枚举出完整算法套件,包括已弃用的diffie-hellman-group1-sha1(受Logjam攻击影响)、arcfour、3des-cbc和CBC模式AES变体。ssh-hostkey脚本提取了1024位DSA密钥和2048位RSA密钥及其完整指纹。这些弃用算法的存在标志着此SSH守护进程严重过时且加密能力薄弱。
4.6 HTTP头部Web技术指纹识别
通过HTTP头部探测来指纹识别Web技术栈:
sgpt --chat scan --shell "Detect web technologies running on 192.168.1.15"
三个NSE脚本共同揭示了完整的Web技术栈:Apache/2.2.8(Ubuntu) DAV/2作为Server字段,PHP/5.2.4-2ubuntu5.10出现在X-Powered-By头部,页面标题为”Metasploitable2 – Linux”,明确确认了目标身份。Apache 2.2.8于2013年已达生命周期终点,PHP 5.2.4于2007年发布——两个版本都携带大量公开已知的关键漏洞。443端口关闭,确认不存在HTTPS服务。
4.7 路由追踪与网络拓扑映射
使用Nmap内置的路由追踪功能确定到目标的网络路径:
sgpt --chat scan --shell "Run Nmap traceroute on 192.168.1.15"
路由追踪报告显示:跳1,RTT 1.89毫秒,192.168.1.15。单跳确认攻击者和目标之间没有路由器或防火墙阻隔——他们共享同一个二层广播域。这种拓扑确认验证了ARP技术适用性,排除了NAT穿越复杂性,并确认每个探测都以线速到达目标。
4.8 数据包追踪诊断
启用Nmap的--packet-traceflag,暴露扫描器和目标之间的原始数据包交换:
sgpt --chat scan --shell "Run an Nmap scan with packet trace enabled on 192.168.1.15"
输出从ARP交换开始——”SENT ARP who-has 192.168.1.15 tell 192.168.1.17″后跟”RCVD ARP reply 192.168.1.15 is-at 00:0C:29:1E:7E:AF”——确认Nmap在发出任何IP层探测前先在二层解析存活状态。一系列NSOCK INFO行显示Nmap脚本引擎的事件循环处理DNS反向查询。大部分追踪由SENT TCP SYN数据包组成,同时发送到多个端口,带有随机TTL值和序列号,随后是RCVD TCP RST/ACK响应(关闭端口)和RCVD TCP SYN/ACK响应(开放端口)。数据包追踪使探测策略、时序和响应解读完全透明。
五、扫描结果AI分析与自动化
5.1 将扫描结果保存到文件
在进行AI分析前,需要先将扫描结果写入文件供Shell读取:
nmap -sV -oN scan.txt 192.168.1.9
-sV参数指示Nmap探测每个开放端口并通过横幅抓取和探针响应匹配提取精确的服务名和版本字符串。-oN参数以人类可读的正常格式将输出写入scan.txt。扫描在11.96秒内完成,揭示7个开放服务:21端口的vsftpd 3.0.5、22端口的OpenSSH 8.9p1、80端口的Apache httpd 2.4.52、111端口的rpcbind 2-4版本、139和445端口的Samba smbd 4、以及2049端口的nfs_acl 3。这份简洁的快照成为后续AI驱动分析步骤的唯一真实来源。
5.2 管道输入进行攻击面分析
将scan.txt内容直接管道输入ShellGPT,请求攻击面审查和安全的后续步骤:
cat scan.txt | sgpt "Analyze the attack surface and suggest next steps"
ShellGPT处理扫描数据后返回一个结构良好的报告,组织为三个部分:
暴露服务部分列举了所有7个服务。
可能风险区域部分逐一分析每个服务:对于FTP,标记匿名登录、弱凭据、可写上传和暴露备份;对于HTTP,引导操作者枚举默认页面、隐藏目录、文件上传点和登录面板;对于Samba/SMB,强调来宾访问、可写共享、凭据重用和暴露敏感文件;对于NFS,特别标记错误配置的导出允许未授权挂载访问和通过root_squash错误配置进行权限提升;对于SSH,除非启用密码认证或凭据重用,否则风险较低。
建议的后续步骤部分提供编号行动计划,涵盖共享枚举、Web爬行、已知CVE版本验证、凭据测试和错误配置审计。整个分析在数秒内到达,将12行扫描报告转换为优先级排序的渗透测试清单,零手动研究。
5.3 生成完整枚举命令集
攻击面分析识别了要枚举的内容,这一步骤要求ShellGPT生成执行枚举的确切命令:
cat scan.txt | sgpt "Generate enumeration commands"
ShellGPT响应一个全面的、按服务分类的命令计划,组织为五组:
- 通用Nmap后续扫描:生成组合默认脚本和服务版本扫描、激进扫描和漏洞类别NSE扫描的三条命令。
- FTP枚举:生成直接ftp连接尝试,随后是ftp-anon、ftp-syst和ftp-banner NSE脚本。
- SSH审计:提供ssh2-enum-algos和ssh-hostkey NSE脚本,配合直接
ssh -v详细连接。 - HTTP枚举:生成
curl -i、whatweb、nikto和gobuster目录暴力破解命令。 - NFS和RPC枚举:生成rpcinfo、showmount、NFS相关NSE脚本和完整NFS挂载工作流程。
- SMB枚举:生成smbclient匿名共享列出、smb-enum-shares等NSE脚本包和enum4linux-ng。
每条命令都可立即执行;操作者从单一自然语言请求中获得完整的侦察攻略。
5.4 设计隐蔽SYN扫描配置
当攻击者需要设计针对规避优化而非速度的扫描时,ShellGPT同样充当技术顾问:
sgpt "Generate Nmap command for stealth SYN scan"
ShellGPT给出精确答案和清晰的理由。核心建议组合三个flag:-sS执行SYN扫描、-Pn抑制主机发现探测、-T2使用礼貌定时模板。-sSflag保持连接半开放,防止会话层日志记录;-Pnflag消除发现足迹;T2定时模板引入探针间延迟,使扫描速率低于大多数IDS阈值触发器。ShellGPT还列出三个可选增强:-p-扫描所有65535端口、--scan-delay 100ms显式探针间暂停、--max-retries 2减少总数据包计数。
5.5 解释复杂Flag组合
除了命令生成和扫描分析,ShellGPT还可作为按需参考,解释任何Nmap命令在操作者运行前的具体作用:
sgpt "Explain nmap -sS -sV -O -Pn"ShellGPT提供精确的四点分解:-sS执行SYN(半开放)扫描,比完整连接扫描更快更隐蔽;-sV激活服务和版本检测;-O通过TCP/IP栈指纹识别启用OS检测;-Pn完全禁用主机发现,将目标视为在线并跳过所有ping检查。然后ShellGPT将这四个flag合成为四步操作摘要,并提供应用到192.168.1.10的立即可执行示例命令。
六、SSH暴力破解实战
用户只需用自然语言描述意图——在192.168.1.9上对SSH进行暴力破解,使用users.txt和pass.txt字典——ShellGPT即转换为精确可执行的命令:
sgpt --shell "Use nmap to SSH-bruteforce on IP address=192.168.1.9 using users.txt and pass.txt files location /root/"执行后,nmap开始系统性地遍历两个字典中的每个组合。终端充满了一长串”尝试用户名/密码对”条目,循环测试用户名如raj、pentest、lowpriv、administrator、ignite、sa,以及一系列常见密码如admin@123、Password@123、Ignite@987、123。这种系统配对是字典暴力攻击的本质:不是随机猜测,而是测试精心策划的可能凭据列表,直到耗尽列表或找到匹配。
收获出现在输出底部,以红色高亮显示。nmap报告22端口开放并运行SSH,在ssh-brute结果下列出成功恢复的两组有效凭据:pentest:123和lowpriv:123。伴随统计显示脚本在约11秒内执行了38次猜测,平均约每秒3.5次尝试,VMware MAC地址确认目标是虚拟机。
七、防御缓解策略
本文记录的侦察工作流程暴露了一个一致模式:Nmap和ShellGPT从目标收集的每条信息都是目标选择披露的。因此,减少侦察攻击面意味着减少主机对未经请求探测的披露。以下缓解措施直接针对上述演示的技术。
7.1 禁用不必要的服务
最有效的缓解措施是消除服务。每个开放端口都是攻击者指纹识别扫描的潜在数据源。Metasploitable 2在一台主机上暴露23个服务;加固后的服务器应仅暴露严格required的服务。管理员应使用netstat -tlnp或ss -tlnp定期审计每个监听端口,关闭任何没有文档化业务理由的服务。
7.2 强制严格防火墙规则与默认拒绝策略
配置主机防火墙默认丢弃所有入站流量,仅允许明确列入白名单的端口和协议,防止Nmap获取任何未授权服务的端口状态信息。DROP目标而非REJECT目标至关重要:REJECT生成ICMP错误确认主机存活且端口被过滤,而DROP返回沉默。沉默是对未经请求探测的正确答案。
7.3 更新和修补所有服务至当前支持版本
本文识别了vsftpd 2.3.4(后门,CVE-2011-2523,2011年远程root)、Apache 2.2.8(2013年生命周期终点)、PHP 5.2.4(2007年发布)、Samba 3.0.20(多个关键CVE)、OpenSSH弃用算法(包括diffie-hellman-group1-sha1)和SSL 3.0(POODLE,CVE-2014-3566)——这些都不会出现在运行当前软件的系统上。维护软件清单并在定义的SLA内应用安全补丁是应对漏洞扫描结果的最直接措施。
7.4 加固SSH配置
完全禁用密码认证,强制仅使用公钥认证。从sshd_config文件中移除弃用的密钥交换算法(diffie-hellman-group1-sha1、diffie-hellman-group14-sha1)、弃用密码(arcfour、3des-cbc、所有CBC模式变体)和弃用MAC算法(hmac-md5、hmac-md5-96、hmac-sha1-96)。使用至少3072位的RSA密钥或ED25519密钥。限制SSH连接尝试速率,使用fail2ban或等效工具阻止重复失败的身份验证。
7.5 限制FTP或替换为SFTP/SCP
匿名FTP登录——如192.168.1.9上演示——授予任何未认证攻击者对pub目录的读访问权限并暴露服务器横幅、守护进程版本和连接元数据。如果需要FTP,禁用匿名访问,将登录限制为带chroot监狱的命名账户,并考虑完全用SFTP替换FTP,通过加密SSH通道提供相同文件传输功能而无额外攻击面。
7.6 保护SMB和NFS导出
Metasploitable 2上的IPC$和tmp共享允许匿名读写访问。此配置允许空会话枚举用户账户、共享和密码策略,并提供可写暂存目录用于有效载荷投递。SMB共享应要求身份验证;禁用来宾访问。NFS导出应明确枚举允许的客户端地址,仅在操作required时使用no_root_squash选项,并限制导出路径至最小必要范围。两个服务都应防火墙化,仅允许从已知客户端地址访问。
7.7 限制和过滤ICMP
UDP ping、SCTP INIT ping和IP协议ping技术都依赖于ICMP错误消息——具体是目标自身内核针对不支持的端口或协议的探测生成的ICMP端口不可达和协议不可达。限制出站ICMP错误消息的速率降低这些响应提供的信息,严格入站防火墙策略丢弃ICMP echo请求可防止标准基于ping的主机发现。注意完全压制所有出站ICMP在操作上具有破坏性(它破坏路径MTU发现);速率限制是实用的平衡点。
7.8 监控AI辅助侦察模式
传统IDS签名专注于特定工具指纹(Nmap的默认TTL模式、探针时序和有效载荷内容)。AI辅助工具如ShellGPT产生的命令在语法上与手动编写的命令完全相同,因此基于签名的检测同样有效。然而,上述记录的工作流程的速度和广度——主机发现、快速端口扫描、服务指纹识别、OS检测、NSE漏洞扫描、协议枚举和HTTP枚举全部在数分钟内——产生的侦察模式应标记基于速率的异常检测和网络行为分析,即使没有特定于工具的签名。部署网络IDS如Snort或Suricata,配合调优的基于速率的规则,并审查生成异常大量SYN数据包的连接日志到短窗口内的多个不同端口,提供了不被攻击者AI层绑定的检测层。
八、总结
本文记录了26个渐进式侦察操作,均基于单一一致的工作流程:用自然语言表达意图,接收可执行的命令,执行它,并解读输出。ShellGPT与Nmap的配对消除了高级网络侦察的主要障碍——需要了解工具——并用对话界面替换它,将操作者意图直接转换为跨所有主要扫描类型、NSE类别和协议的精确正确命令。
此工作流程在短会话中实现的内容是显著的。从空白终端开始,攻击者安装工具、配置API访问、确认连接、发现6台活跃主机、枚举其开放端口、指纹识别其服务操作系统、识别三个可远程利用的关键漏洞、映射具有匿名访问的SMB共享、提取SSH加密弱点、指纹识别Web栈、追踪网络拓扑、检查原始数据包交换、将扫描输出保存到磁盘、反馈给AI进行即时攻击面分析和完整枚举命令计划,并设计隐蔽扫描配置——所有操作都无需从记忆中编写一条Nmap命令。
对防御者的启示同样直接:此能力并非资深渗透测试师的专属领域。任何持有OpenAI API密钥并运行ShellGPT实例的操作者都可以针对自己的基础设施执行相同的工作流程。本文记录的缓解策略——服务缩减、默认拒绝防火墙化、当前补丁级别、SSH加固、SMB和NFS访问控制、ICMP速率限制和基于异常的侦察检测——代表了进攻性工作流程的防御对应面。一致实施这些措施的网络不会在上述25个操作中的任何一个中披露有用的侦察数据。这是正确的安全态势:不是消除扫描,而是消除扫描能发现的东西。
版权声明:本文由华盟网原创发布,保留所有权利。配图由华盟网授权使用。
暂无评论内容