文章总结: 本文分享使用AI工具对.NET源码进行白盒审计并发现SQL注入漏洞的实战案例,作者通过DeepSeekV4Pro反编译dll文件后,利用特定提示词进行代码审计、鉴权分析和框架路由分析,成功发现符合CNVD中危及以上标准的漏洞,并提供了验证过程与HTTP请求数据包作为POC。文章还总结了AI在黑盒与白盒漏洞挖掘中的应用效率,强调AI需与人工边界控制结合,并附带了代码审计培训课程宣传内容。 综合评分: 75 文章分类: 代码审计,AI安全,Web安全,安全培训,解决方案
使用AI白盒审计NET源码拿下SQL注入案例&部分感想
原创
知名小朋友 知名小朋友
进击安全
2026年6月25日 02:43 北京
在小说阅读器读本章
去阅读
免责申明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。
很有实力的一个大哥,感谢大哥最近对小朋友的指导,师傅们可以关注关注哦。
一、前言
以后会多更新一些AI的文章,这里也是使用AI拿下CNVD证书SQL注入的一次简单案例。
二、AI提示词+实操
这里还是使用DeepSeek V4 pro主要是便宜一些,同时这里是dll文件,也就是net源码首先让他进行反编译即可,保存在一个文件夹当中(记得安装libspy工具)。
保存好之后开始进行审计,下面是相关的提示词:
请你针对当前源码进行反编译是dll文件,全部反编译到桌面/Users/x/Desktop/dll当中
请你进行针对当前项目进行代码审计,同时进行鉴权分析以及框架路由分析,全量分析,同时给我对应的相关分析结果,另外再次基础上根据你对对应的项目架构以及对应的鉴权流程基础上进行漏洞审计,我只要符合CNVD漏洞平台评分规则中危及以上漏洞,其余漏洞不要进行输出,保存在当前文件夹当中,md格式。
三、验证
共计输出四份文档,可以看到按照要求进行生成,这里查看对应的漏洞层即可。
(忘了让他给POC了,记得在上方第二个提示词加入一个让他提供完整的http请求数据包,这里补了一下)
简单去跟了跟,发现确实存在,尝试验证。
四、部分感想
最近一直在使用AI研究一些东西,也有一些成果,AI目前只会越来越迭代升级迅速,赋能我们更行各业,建议师傅们使用早去跟AI进行磨合来进行提升自己整体的一个竞争力,下面是最近的一些研究成果。
黑盒AI漏洞挖掘:
从6.16开始挖掘bilibiliSRC到今天6.24目前成果:
通过5个高危漏洞1个严重漏洞,还有3个未审核。
使用AI自动化漏洞挖掘(报告和复测边界控制要自己做)成功一周时间拿下目前暂时的年榜第三月榜第一。
(在这里师傅们一定一定要注意边界的控制,不要影响到业务,需要在电脑前盯着AI的输出信息,不要开始蹬就不管了)
白盒AI漏洞挖掘:
这里其实目前使用AI搞定一个设备的高危漏洞,但是还没审核就不放图片了。
(放个帅照吧)
AI不管是在白盒还是黑盒,其实对于目前来看,我认为黑盒更吃一些对AI的理解和利用(不要喷我,实测过的),以及跟他的磨合程度,白盒简单的一些小源码可以直接几句话suo出来,这里没什么好感慨的,但是针对于一些大型或复杂的源码还是需要一定的AI技巧,但是这里我个人猜测,这个技巧会随着AI的升级加速满满的也转变为几句话suo出来,这是模型能力提升所带来的便捷的地方,但是同时师傅们也不要忽视了自身的基本功,还是那句话师傅们AI可以带你1-100但是无法带你0-100。
(建议师傅们使用早去跟AI进行磨合来进行提升自己整体的一个竞争力)
下面是培训文了
(其实这个文章不想放培训宣传文,但是为了混个饭吃,希望兄弟们不要介意)
目前课程也加入了AI,师傅们赏脸的话可以了解了解,也是混个饭吃,同时也在跟着潮流吧,加入了AI代码审计课程,后续的AI其余方向具体就看等这一期课程讲完之后AI发展到哪一步再去针对性讲解了,现在给大家承诺要讲什么什么也是假的,AI发展有点迅速。
代码审计培训介绍&广告区域
二、第五期课程

第五期课程仍然是以代码审计为主,本次课程还是为三个语言的代码审计0-1讲解,目的为帮助学员完成0-1+1的白盒(代码审计)漏洞挖掘,并且在出货的基础上再+1去出高质量的漏洞(例如组合拳RCE、前台相关漏洞等)。
1
课程周期
开课周期预计到:三个月左右(直播+录播)
课程大纲
本次课程分为PHP、JAVA、NET代码审计为直播+录播,为了照顾一些基础较为薄弱的师傅新增基础~技巧~番外(录播课程)。
01
PHP&JAVA&NET代码审计 (直播+录播)
之前课程大纲主要为xxx实战案例,本次课程大纲着重体现思路方向,并非取消了实战部分,实战部分之多不减。
PHP课程目录
✅ 第一节课:多框架初识&路由认识&参数传递
✅ 第二节课:多框架&鉴权分析&认证与鉴权&鉴权方式
✅ 第三节课:多框架&常见漏洞函数&回显&非回显
✅ 第四节课:注入漏洞&常见位置&实战审计注入类漏洞
✅ 第五节课:前台RCE漏洞审计&漏洞案例技巧讲解
✅ 第六节课:门户网站CMS&网络设备&审计经验讲解
✅ 第七节课:多框架&鉴权对抗&权限绕过技巧&案例分析
✅ 第八节课:组合拳RCE漏洞分析&漏洞组合拳利用&案例
✅ 第九节课:PHP下反序列化漏洞&魔术方法&pop链分析
✅ 第十节课:PHP下反序列化漏洞实战&phar协议RCE案例
JAVA课程目录
✅ 第一节课:Servlet&Spring Boot&Spring MVC&Struts2
✅ 第二节课:多框架下&拦截器&认证鉴权&组件鉴权分析
✅ 第三节课:多框架下&权限绕过&鉴权对抗&案例分析
✅ 第四节课:常见漏洞函数&案例分析&审计技巧
✅ 第五节课:前台漏洞审计&组合拳rce漏洞&技巧&案例
✅ 第六节课:反序列化&CC链利用&反序列化漏洞利用
✅ 第七节课:Ognl&SpEl&EL表达式注入&漏洞案例
✅ 第八节课:内存马简介&内存马原理分析&内存马注入方式
✅ 第九节课:RMI&JNDI注入&JNDI注入漏洞利用&案例
✅ 第十节课:组件漏洞&shiro&fastjson&log4j分析&利用
.NET课程目录
✅ 第一节课:初识.NET&Web From & MVC架构框架分析
✅ 第二节课:Web From&MVC框架&鉴权分析&认证方式
✅ 第三节课:多框架下&鉴权对抗&权限绕过分析&案例
✅ 第四节课:注入漏洞分析&文件操作类漏洞&实战分析
✅ 第五节课:常见漏洞位置&前台漏洞审计&漏洞案例讲解
✅ 第六节课:组合拳RCE漏洞分析&组合拳RCE案例讲解
✅ 第七节课:.NET反序列化漏洞初识&反序列化漏洞原理
✅ 第八节课:.NET安全反序列化链&反序列化触发场景
✅ 第九节课:.NET反序列化漏洞案例&反序列化漏洞分析
02
基础~技巧~番外(录播)
该篇章为长期更新
1
基础篇章
1、由于之前上课时部分师傅存在一定基础,刚开始的课程部分师傅认为自己可以跟的上等问题,导致时间的浪费。
2、同时有一定的师傅存在无法搭建源码,以及软件下载等问题,于是将这种基础问题,统一归纳为基础篇章,供师傅们学习,节省师傅们时间提升学习效率及课程质量
3、同时面对部分学员频繁提出的一些问题,针对该问题同样会进行解答,并且进行录制上传至基础篇章中。
2
技巧篇章
1、随着自己技术的进步也了解到了一些新型的技巧或者手法,例如sql注入的某一个技巧,但是重新讲解又浪费大量时间,特地新增了技巧篇章,将单独的技巧进行讲解。
3
番外篇章
1、自己在第四期讲过一些逆向相关,并且还存在相关的一些好的案例,得到了挺多师傅的认可,例如某APP接管存储桶等案例,于是之后在有好的案例将进行上传更新。
课程思维导图

常见疑问&课程讲解

第五期课程收费多少?

本次课程收费仍然是1688,并且还是承诺一次报名后续不再进行任何二次收费保障(包含内部平台,以及后续推出一系列内容均可观看)。

什么时间段上课,上课周期是多长时间?

第五期课程【直播+录播】上课周期为三个月,一般集中在周五六日这三天,一周保持2~3节课,每节课1小时左右。

作为学员,我们都有哪些权益?

首先最关键的就是课程内容是可以一直学习的,同时内部报告平台也可进行观看,答疑是不限时长,不限类型方向,任何方向均可,再次同时代码审计最关键的就是源码,源码&课件&视频都是给兄弟们配套的,当然无聊找小朋友聊天一起打游戏也可以哦。

学完之后可以达到什么水平?

学完之后可以达到可以进行独立审计的水平,在面对php、JAVA、NET主流语言的源码,可以进行独立审计,验证漏洞,对于一些JAVA安全内容例如:反序列化,内存马等也有一定的理解,可以进行打反序列化漏洞、注入内存马等操作,同时PHP的反序列化、pop链,phar协议等利用也有一定理解,且此类漏洞导致RCE均有案例。

0基础可以学吗?

1、这是大家最常问的一个问题,0基础是可以的,我的代码审计课程一直秉持着帮助大家完成代码审计0-1的目标,同时往期(第四期)课程新增了进阶课,其目的也是帮助大家完成0-1出洞到0-1出有质量的漏洞。
2、另外考虑到有的学员基础较为薄弱,本期同时也开了番外篇&基础篇,师傅们可以观看这块分区课程内容,此类分块课程目的就是为协助到一些基础比较薄弱的师傅们。

是那种读PPT拿着靶场讲解吗?

不会,课程均使用一些0Day&1Day&Nday优质漏洞来进行授课,且本期案例均为从简-难漏洞案例,深度体验代码审计当中的难易区分,完全杜绝靶场以及去读PPT的,从培训第一期开始到现在,基本为上课开始看几眼课件,让学员熟悉这节课的大概内容等信息,然后直接实操到下课,这一点也是我干培训五期以来一直使用的授课方式。

是否有简历修改&内推等福利?

有的兄弟,有的,不介意小朋友的指导简历这类的话,随时欢迎大家来骚扰我。

为什么你不新增AI方向的内容?

目前我个人认为AI可以帮助我们提升很大的效率,但是前提是AI的使用者本身要懂这个技术,才可以利用AI来降低该技术门槛,提升效率,完全自动化目前感觉还是无法做到,包括课程当中也会使用AI会顺带着给师傅讲了如何用ai来提升效率,同时如果反馈不会使用的师傅较多,会考虑后续在基础~技巧~番外来更新该方向内容。
联系方式
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:进击安全 知名小朋友 知名小朋友《使用AI白盒审计NET源码拿下SQL注入案例&部分感想》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。








评论