随手记

一、第82篇：用户名密码字典生成工具V0.32发布，(14种拼音格式|IP地址处理|密码字典生成)

二、【不可防御】TOA 伪造来源IP之"殇"

1. 搭建代理池
   1. 配置Redis
   2. 配置proxy_pool(https://github.com/jhao104/proxy_pool.git)
2. 配合proxifier使用
3. 配合Auto Proxy插件使用

三、用GPT做静态代码扫描实现自动化漏洞挖掘思路分享

四、langchain+xray，好玩起来了

from langchain.chat_models import ChatOpenAI
from langchain.agents import initialize_agent, AgentType
from xray_tools import XrayScanTool
llm = ChatOpenAI(
    model_name="gpt-3.5-turbo-0613",利用到华为云官方的工具obsutil，下载链接https://support.huaweicloud.com/utiltg-obs/obs_11_0003.html。
    temperature=0,
    # 填入自己的ChatGPT API
    openai_api_key=API_KEY,
    openai_api_base=BASE_ADDRESS
)
# 构建工具列表
tools = [XrayScanTool()]
# 初始化agent
agent = initialize_agent(
    agent=AgentType.STRUCTURED_CHAT_ZERO_SHOT_REACT_DESCRIPTION,
    tools=tools,
    llm=llm,
    verbose=True
)

五、华为云遇到aksk+SecurityToken的利用方式

利用到华为云官方的工具obsutil，下载链接https://support.huaweicloud.com/utiltg-obs/obs_11_0003.html。

阿里云AK泄露之STS(SecurityToken)如何利用

六、wps 0day

服务端

• 服务端在server目录下的main.py, 此python脚本的作用是用来生成html代码，同时支持生成shell、msf、cs反弹的代码。