作者:知道创宇404实验室
English version: https://paper.seebug.org/3028/
2023年5月份,ZoomEye团队 [1] 发布了ZoomEyeGPT [2] ,它是一款基于 GPT 的 Chrome 浏览器扩展程序,旨在为 ZoomEye 的用户带来 AI 辅助搜索的体验。
ZoomEyeGPT是GPT在ZoomEye搜索输入侧的应用。而本文会将GPT应用于ZoomEye结果输出侧,使用ChatGPT [3] 去辅助用户解读ZoomEye数据结果,提高用户在实际业务场景下分析数据和理解数据的效率。
ChatGPT的普通知识容量是远远超过人类的,但在专业知识的储备和运用方面是不及专业人员的。让ChatGPT去判断ZoomEye平台搜索结果中某个IP地址是否具备漏洞,目前它是做不到的;但让ChatGPT针对结果数据进行一些常规的分析和识别,它是可以做到的,且效率比人类更高。
首先,我们利用ChatGPT的优势,在三个实际场景中,使用ChatGPT去辅助用户解读ZoomEye数据结果:
辅助用户去分析测绘数据、识别软硬件厂商、扩充指纹规则库,可以有效提升分析效率。ChatGPT是一个称职的指纹规则标注助理!
辅助用户去分析SSL证书数据,判断IP所属组织机构及行业类型,结果是比较准确的。
然后,我们在实际业务场景案例中,将这些方法进行应用实践。首先在ZoomEye平台获取并下载目标网段的资产测绘数据;然后利用ChatGPT的API接口,将测绘数据输入给ChatGPT,请ChatGPT去分析解读数据;通过ChatGPT的分析结果,我们知晓目标网段中存在一个IP地址使用了"Metabase "组件,其可能受"Metabase 远程代码执行(CVE-2023-38646)"漏洞影响,该IP地址所属机构是"上海**健康科技有限公司"。
本文所讲述ChatGPT在测绘数据分析方面的应用,算是抛砖引玉。用户在使用ZoomEye平台的过程中,实际业务场景会更加复杂更加多变,若能在业务场景中找到可以与ChatGPT优势结合的点,将ChatGPT的能力为我所用,相信会起到事半功倍的效果。
日常工作中有这样一个业务场景:某网络安全应急响应部门,获取一批漏洞情报信息《创宇安全智脑 | Metabase 远程代码执行(CVE-2023-38646)等137个漏洞情报》 [4] 之后,想摸底管辖IP网段范围内,是否有IP可能受到漏洞影响,可能受漏洞影响的IP地址属于哪些组织机构。
正常的工作流程是:首先,获取漏洞影响组件名称,研究组件对应banner数据特征(又称之为指纹规则);然后,根据组件指纹规则,获取IP网段范围内使用该组件的IP地址,即可能受到漏洞影响的IP地址;最后,判断这些IP地址属于哪些组织机构。若漏洞情报中漏洞数量较多,获取这些漏洞影响组件的指纹规则,需要人为进行规则识别,比较耗时;在判断IP地址属于哪些组织机构的时候,需要人为进行判断,也是件耗时的工作。
因此,我们试想将GPT应用于ZoomEye结果输出侧,使用ChatGPT 去辅助用户解读ZoomEye数据结果,从而提高工作效率。本文中,我们将结合该业务场景案例,尝试将ChatGPT应用到实践中。
熟悉网络空间测绘领域的同学应该清楚:通过测绘获取某个IP地址某个端口的banner数据之后,在数据的header头部、body正文、ssl证书等字段中,若存在某些特定的字符串特征,我们便可以识别出该IP地址使用了某类设备或某款软件。这里的字符串特征,叫做指纹规则(不同网络空间搜索引擎平台的叫法可能不一样)。
网络空间搜索引擎平台预置了这些指纹规则之后,用户就可以根据软硬件厂商名称来直接搜索某款软硬件,而无需去记忆那些识别软硬件的具体指纹规则。例如,在ZoomEye平台上,用户可以直接输入 "app:wordpress "搜索使用WordPress软件的IP地址,而无需知道WordPress软件的具体指纹规则。
为了提升用户搜索体验,每家网络空间搜索引擎平台,都花费了巨大的人力财力去完善自家的指纹规则库,但没有哪家平台的指纹规则库可以100% 覆盖全世界软硬件厂商。
有这样一个场景:用户业务需求是测绘某特定区域的网络空间,在平台上获取该区域测绘数据之后,对于那些没有识别出软硬件的结果数据,期望通过人工分析去尽可能的识别出软硬件厂商;还有一个场景:网络空间搜索引擎平台自家的数据分析师,面对自家测绘结果中没有识别出软硬件的数据,尽可能扩充指纹规则库,以识别出更多的软硬件。
这两种场景下,是否可以使用ChatGPT去辅助用户解读ZoomEye数据,从而提升分析数据的效率呢?本章节中,我们使用一些样例去进行尝试。
首先,我们使用一段比较简单的banner数据,配合事先准备好的问题话术,引导ChatGPT去分析数据并输出我们想要的结果。从下面的截图中,可以看出ChatGPT给出的答案是满足要求的,识别出硬件厂商是"华硕(ASUS)",型号是"RT-ACRH13",甚至给出了额外信息:该设备的类型是"路由器"。
接下来,我们使用稍复杂的banner数据。从下面的截图中,可以看出ChatGPT识别出硬件设备是"FortiGate",厂商是"Fortinet",同样也给出了一个额外信息:这是一个"网络安全设备"。
接下来,我们使用更加复杂些的banner数据。从下面截图中,可以看出ChatGPT识别出厂商是"SonicWall"。出乎意料的是:ChatGPT还告诉我们,它是通过header头部和title标题中的特征字符串进行识别的。这相当于它不仅给出了识别结果,还提供了具体的识别规则:告诉我们特征字符串是什么,特征字符串应该出现在banner的什么字段。
之前几个示例中,banner数据已经体现出了厂商名称。接下来,我们测试难度更大的banner数据,其数据中没有直接体现出厂商名称。从下面截图中,可以看出ChatGPT依然成功识别了这条banner数据,它根据header标题内容识别出厂商是"WatchGuard"。
接下来,我们继续使用一条比较复杂的banner数据。从下面的截图中,可以看出ChatGPT成功识别出结果是"Cisco ASA"设备,并且提供了header头部和html正文中的特征字符串,可以很好的帮助我们去添加该设备的指纹规则。
接下来,我们尝试一条软件相关的banner数据。从下面截图中,可以看出ChatGPT成功识别出结果是"WordPress内容管理系统(CMS)"软件,同时提供了用于识别的特征字符串。
最后,我们尝试一条比较特殊的banner数据,数据中IP地址提供一个Cobalt Strike服务。ChatGPT依然成功识别,并且针对配置内容进行分析,输出重要配置信息。
通过本章节的尝试,可以看出:ChatGPT不仅具备通过banner数据识别软硬件厂商的能力,还可以识别硬件和软件的类型。更让人出乎意料的是:ChatGPT可以提供识别依据,根据banner数据中某个字段值的某个特征字符串进行判断得到结果,这就相当于提供了具体的指纹识别规则。
因此,我们认为使用ChatGPT辅助用户去分析测绘数据、识别软硬件厂商、扩充指纹规则库,可以有效提升分析效率。ChatGPT是一个称职的指纹规则标注助理!
在ZoomEye平台上查看搜索结果,部分字段数据可以被普通工程师直接理解,例如下图中标识出的IP、端口、协议、国家、城市、测绘时间,一名普通IT工程师可以很直接的接收这些字段数据中包含的信息。
但是,有些字段数据的信息,普通工程师无法直接接收和转换,例如:下图中标识的证书字段。证书字段中数据内容很多,用户需求不一样的情况下,其关注内容就不一样;通过证书字段中的数据,用户未必能够直接得到自己需求的结果,而是需要将证书数据进行二次转换后得到自己需求的结果。
以上方截图为示例,用户需求是想知道这个IP地址所使用证书的持有者组织名称。那么,用户不关心证书字段的全部数据,而是只需要查看证书字段中的Subject数据;用户查看到Subject数据为"CN=sylwzn.com",无法直接知道证书的持有者组织名称,而是需要通过访问"sylwzn.com"查看网页,分析该域名对应的持有者,才可以知道该证书的持有者组织名称。
我们针对上一节中的困恼,使用ChatGPT去辅助用户解读ZoomEye数据,进而获取IP地址所使用证书的持有者组织名称,提高用户的数据解读效率。
首先,我们将ZoomEye搜索结果导出,"数据格式"选择"json格式",“字段配置”仅选择两个字段:"ip"和"ssl"。
然后,在ChatGPT中输入我们调教N次后确定的问题,用来引导ChatGPT按照我们的需求去接收数据、提取数据、分析数据、输出数据。
在ChatGPT表示理解要求之后,输入2条json数据提供给它,2条json数据如下所示:
{
"ip": "173.194.51.233",
"ssl": "\n\n\nSSL Certificate\n ...Subject:*CN=\.c.docs.google.com\n..."
}
{
"ip": "41.63.166.101",
"ssl": "\n\n\nSSL Certificate\n ...Subject: CN=FortiGate,O=Fortinet Ltd.\n..."
}
如上图所示,ChatGPT给出的答案基本满足要求。ChatGPT从输入的SSL证书数据中提取了Subject字段信息,进而提取其中的O字段和CN字段信息,根据O字段和CN字段信息识别出证书持有者组织名称。不仅如此,ChatGPT还回答出组织机构的行业类型和中文名称,而机构的行业类型和中文名称这2个信息,可以被普通技术工程师直接接收;在处理大量ZoomEye结果数据的场景下,可以有效提高用户理解数据和分析数据的效率。
此外,注意看第一条json数据中,Subject字段信息中没有包含O字段,只包含了CN字段。因此,ChatGPT根据CN字段的值去进行推断,得到了证书组织机构的名称,是比较智能的。
接下来,我们再输入2条json数据,如下所示:
{
"ip": "104.90.119.209",
"ssl": "\n\n\nSSL Certificate\n ... Subject: C=US,CN=store.nba.com,L=New York,O=NBA Media Ventures, LLC,ST=New York\n ..."
}
{
"ip": "144.53.243.70",
"ssl": "\n\n\nSSL Certificate\n ... Subject: C=AU,CN=\*.abs.gov.au,L=Belconnen,O=Australian Bureau of Statistics,ST=Australian Capital Territory\n ..."
}
如上图所示,ChatGPT给出的答案比较完美。特别是对于组织机构行业的判断,是比较准确的,在实际应用中可以极大程度的辅助用户去解读数据。
本章节,我们在一个实际业务场景中,将上述章节中的方法进行应用实践,使用ChatGPT去辅助用户分析解读ZoomEye数据结果。
某网络安全监管部门,获取一批漏洞情报信息《创宇安全智脑 | Metabase 远程代码执行(CVE-2023-38646)等137个漏洞情报》 [3] 之后,想摸底管辖IP网段范围内,是否有IP可能受到漏洞影响,可能受漏洞影响的IP地址属于哪个组织机构。
我们在管辖IP网段范围内选取一个C段"212.129../24"作为实践样例,在漏洞情报信息中选取前三个漏洞"锐捷EG网关fileupload文件上传"、"Cloudpanel 远程代码执行(CVE-2023-35885)"、"Metabase 远程代码执行(CVE-2023-38646)"作为实践样例。
首先,我们利用ZoomEye平台获取该C段的网络资产测绘数据;然后,借助ChatGPT去分析解读数据,判断是否有IP地址使用了这三个漏洞所对应的组件,从而判断是否有IP地址可能受到漏洞影响;最后,根据IP地址对应SSL证书信息,判断IP地址属于哪个组织机构。
在ZoomEye平台中,输入以下关键词,搜索指定C段IP地址、测绘时间在2023年8月1日之后的测绘数据。
cidr:"212.129.\*.*/24" +after:"2023-08-01" +before:"2024-01-01"
接下来,我们将搜索结果进行下载。在下载对话框中,我们选择下载数据格式为"json格式",字段配置选择"IP地址"、"端口号"、"Banner"、"ssl"这四个字段。将下载的json文件重命名为"zoomeye_data.json"。
选取的前三个漏洞"锐捷EG网关fileupload文件上传"、"Cloudpanel 远程代码执行(CVE-2023-35885)"、"Metabase 远程代码执行(CVE-2023-38646)",其对应的组件分别是:"锐捷"、"Cloudpanel"、"Metabase "。
我们编写Python代码(代码示例见下一小节),逐行读取json文件中的测绘数据;利用ChatGPT的API接口,将测绘数据输入给ChatGPT;请ChatGPT按照以下步骤解读分析数据,判断IP所使用的组件是否为"锐捷"、"Cloudpanel"、"Metabase "三个组件中任意一个,并根据SSL证书内容判断IP所属机构的机构名称和机构行业。
每条json数据包含4个字段:
1.字段"ip",表示"IP地址"
2.字段"port",表示"端口"
3.字段"ssl",表示"IP地址对应的SSL证书内容"
4.字段"banner",表示"测绘banner数据"
请针对每条json数据,根据我的要求进行数据提取和数据分析工作:
1.根据字段"banner"和字段"ssl"的值,分析其中的header头部、title标题等,识别其使用了什么系统或者工具,我称之为"组件名称"。
2.根据字段"ssl"值中SSL证书内容,提取用于标识证书的持有者或主题的"Subject字段"。
3."Subject字段"中的"CN"字段,用于标识证书持有者的通用名称,通常是主机名(Hostname)或域名(Domain Name)。如果是域名的话,请你提取它的主域名,并认为该主域名所对应机构的名称就是"证书机构"的机构名称。
4."Subject字段"中的"O"字段,用于标识证书持有者(通常是个人、组织或实体)的组织名称。我称之为"证书机构"的机构名称。
5.数据中并没有体现机构的行业信息。请根据步骤3和步骤4获取的"证书机构"的机构名称,结合你自己的渊博知识,推断出"证书机构"的机构行业。
6.若"ssl"值或者"Subject字段"为空,则"证书机构"的机构名称为空。
7.最后,判断"组件名称"等于"锐捷"、"Cloudpanel"、"Metabase"其中之一。如果不等于,告诉我:"无法匹配"。如果等于,请将结果告诉我:"IP地址"、"端口"、"组件名称"、证书机构"的机构名称、"证书机构"的机构行业。
若某IP地址使用"锐捷"、"Cloudpanel"、"Metabase "三个组件中任意一个组件,则输出该IP地址,及其端口、组件名称、IP所属机构的机构名称和机构行业。
如下图所示,红框中的文字为ChatGPT的回答,其表示该C段中包含一个IP地址"212.129..",其开放端口是443,使用了"Metabase "组件,所属机构是"上海**健康科技有限公司"。
注:ChatGPT判断该组织机构的行业为医疗健康科技行业,这是不准确的,该组织机构实际为儿童体育培训行业。我们推测ChatGPT其实并不了解该组织机构,是通过公司名称判断的机构行业;所以,ChatGPT在此处回答中的定语为"可能是"。
在这个应用实践案例中,我们首先在ZoomEye平台获取并下载目标网段的资产测绘数据;然后利用ChatGPT的API接口,将测绘数据输入给ChatGPT,请ChatGPT去分析解读数据;通过ChatGPT的分析结果,我们知晓目标网段中存在一个IP地址使用了"Metabase "组件,其可能受"Metabase 远程代码执行(CVE-2023-38646)"漏洞影响,该IP地址所属机构是"上海**健康科技有限公司",满足了实际应用场景中的需求。
当然,ChatGPT的分析结果并非100%完全准确,存在误报的可能性。但是我们用ChatGPT来做数据分析助理,辅助用户处理数据,提高工作效率,它是完全称职的。
本章节应用实践所使用Python代码示例,如下所示:
"""按照需求,使用ChatGPT进行工作.
version:
python3
openai 0.28.0
tiktoken 0.4.0
"""
import os
import json
import openai
import tiktoken
# 设置openai的apikey
openai.api_key = os.getenv("OPENAI_API_KEY")
class WorkWithChatGPT():
"""工作类."""
MODEL = "gpt-3.5-turbo"
MAXTOKENS = 4000
def __init__(self, data: dict):
"""初始化."""
self.data = data
self.ip = self.data.get("ip", "")
self.port = self.data.get("port", 0)
self.ssl = self.data.get("ssl", "")
self.banner = self.data.get("banner", "")
self.tiktoken_enc = tiktoken.encoding_for_model(WorkWithChatGPT.MODEL)
def work(self):
"""执行函数."""
self.prepare_data()
self.chat()
def prepare_data(self):
"""准备测绘数据."""
self.normalize_ssl()
self.normalize_banner()
def normalize_ssl(self):
"""规范化ssl字段数据."""
ssl = self.ssl.strip()
if not ssl:
return
pos_subject = ssl.find("Subject:")
pos_end = ssl.find("\n", pos_subject)
self.ssl = ssl[: pos_end]
self.data["ssl"] = self.ssl
def normalize_banner(self):
"""规范化banner字段数据."""
data_exist = {
"ip": self.ip,
"port": self.port,
"ssl": self.ssl,
"banner": ""
}
count_tokens_exist = self.calc_count_tokens(json.dumps(data_exist))
max_tokens_banner = WorkWithChatGPT.MAXTOKENS - count_tokens_exist
self.banner = self.banner[: max_tokens_banner]
self.data["banner"] = self.banner
def calc_count_tokens(self, string: str):
"""计算字符串token数量."""
return len(self.tiktoken_enc.encode(string))
def chat(self):
"""使用ChatGPT分析json数据."""
msg_system = "你是一位IT技术专家和网络空间测绘数据分析师"
msg_user = """
每条json数据包含4个字段:
1.字段"ip",表示"IP地址";
2.字段"port",表示"端口";
3.字段"ssl",表示"IP地址对应的SSL证书内容";
4.字段"banner",表示"测绘banner数据"。
请针对每条json数据,根据我的要求进行数据提取和数据分析工作:
1.根据字段"banner"和字段"ssl"的值,分析其中的header头部、title标题等,识别其使用了什么系统或者工具,我称之为"组件名称"。
2.根据字段"ssl"值中SSL证书内容,提取用于标识证书的持有者或主题的"Subject字段"。
3."Subject字段"中的"CN"字段,用于标识证书持有者的通用名称,通常是主机名(Hostname)或域名(Domain Name)。如果是域名的话,请你提取它的主域名,并认为该主域名所对应机构的名称就是"证书机构"的机构名称。
4."Subject字段"中的"O"字段,用于标识证书持有者(通常是个人、组织或实体)的组织名称。我称之为"证书机构"的机构名称。
5.数据中并没有体现机构的行业信息。请根据步骤3和步骤4获取的"证书机构"的机构名称,结合你自己的渊博知识,推断出"证书机构"的机构行业。
6.若"ssl"值或者"Subject字段"为空,则"证书机构"的机构名称为空。
7.最后,判断"组件名称"等于"锐捷"、"Cloudpanel"、"Metabase"其中之一。如果不等于,告诉我:"无法匹配"。如果等于,请将结果告诉我:"IP地址"、"端口"、"组件名称"、证书机构"的机构名称、"证书机构"的机构行业。
在你确认理解我的意思后,我会提供一条json数据给你。
"""
msg_assistant = "理解了你的需求。请提供一条json数据。"
messages = [
{"role": "system", "content": msg_system},
{"role": "user", "content": msg_user},
{"role": "assistant", "content": msg_assistant},
{"role": "user", "content": str(self.data)}
]
completion = openai.ChatCompletion.create(
model=WorkWithChatGPT.MODEL,
messages=messages
)
answer = completion.choices[0].message["content"]
print("-" * 50)
if "无法匹配" in answer:
print(f"{self.ip}, {self.port}, 不受漏洞影响.")
else:
print(f"{self.ip}, {self.port}, 可能受漏洞影响.")
print(answer)
def work(filename):
"""按照需求进行工作."""
datas = list(map(json.loads, open(filename)))
for data in datas:
wwc = WorkWithChatGPT(data)
wwc.work()
if __name__ == "__main__":
work("zoomeye_data.json")
本文在实际场景中,使用ChatGPT去辅助用户解读ZoomEye数据结果,实际效果是不错的,可提高用户分析数据和理解数据的效率。
我们认识到ChatGPT的普通知识容量是远远超过人类的,让ChatGPT针对ZoomEye数据结果进行一些常规的分析和识别,它是可以做到的,且效率比人类更高。
用户在使用ZoomEye平台的过程中,实际业务场景会更加复杂更加多变。相信聪明的用户,在业务场景中可以找到与ChatGPT优势相结合的点,将ChatGPT运用起来,以提升数据分析效率。
[1] ZoomEye 网络空间搜索引擎: https://www.zoomeye.org
[2] ChatGPT (GPT-3.5): https://chat.openai.com
[3] 创宇安全智脑 | Metabase 远程代码执行(CVE-2023-38646)等137个漏洞可检测: https://mp.weixin.qq.com/s/MPRqzwv9I8tOWr1Hdf9DCg
[4] 创宇安全智脑 | Metabase 远程代码执行(CVE-2023-38646)等137个漏洞可检测 https://mp.weixin.qq.com/s/MPRqzwv9I8tOWr1Hdf9DCg
本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper.seebug.org/3026/