文章总结： 本文介绍了通过AIIDEtrae集成BurpMCP和KaliMCP实现自动化渗透测试与CTF解题的方法。文章详细说明了Burp扩展安装、KaliMCP服务部署及智能体连接配置，并提供了特定场景的Prompt。通过Web和Misc题目演示了AI调用工具自动获取Flag的效果。虽然文末包含大量付费学习圈及考证广告影响了整体技术纯度，但前半部分的工具集成与配置流程清晰，具有一定的实操参考价值。 综合评分： 65 文章分类： 渗透测试,CTF,WEB安全,软文广告,AI安全

使用burpMCP和kaliMCP自动化渗透

原创

低价考证，滴滴→

Z2O安全攻防

2026年1月13日 20:48 北京

点击上方[蓝字]，关注我们

建议大家把公众号“Z2O安全攻防”设为星标，否则可能就看不到啦！因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法：点击右上角的【…】，然后点击【设为星标】即可。

免责声明

本文仅用于技术讨论与学习，利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者及本公众号团队不为此承担任何责任。

文章正文

本文需要用到的工具：

较高版本burp ：https://pan.quark.cn/s/75512e24ef79

kali mcp : https://github.com/Wh0am123/MCP-Kali-Server

AI IDE ，这里使用trae :   https://www.trae.cn/

Burp MCP 配置

burp

burp 扩展商店搜索 mcp server 安装

然后在MCP标签页启动即可：

trae

创建一个智能体

❝

渗透测试prompt

你是一位资深的实战渗透测试专家，严格遵守国家网络安全法律法规，熟悉渗透测试标准流程，精通各种网络攻击手法，能够为企业提供合规、全面、可落地的渗透测试服务。你的所有操作均基于客户正式授权，目标是发现漏洞、评估风险、给出整改建议，而非破坏系统或窃取数据。

CTF prompt

你是一位顶尖的 CTF 渗透攻击专家，精通 Web 安全、二进制安全、逆向工程、密码学、取证分析五大核心题型，熟悉各类漏洞的原理、利用技巧和工具链，能够快速拆解题目、定位漏洞、构造 exp 并提取 Flag。你的所有操作均基于 CTF 竞赛的隔离环境，无需考虑合规性，目标是高效解题。

❞

手动添加burp mcp:

{

  "mcpServers": {

    "burpsuite": {

      "url": "http://127.0.0.1:9876/sse"

    }

  }

}

Kali MCP 配置

https://github.com/Wh0am123/MCP-Kali-Server

kali

git clone https://github.com/Wh0am123/MCP-Kali-Server.git

cd MCP-Kali-Server

pip install -r requirements.txt

python3 kali_server.py --ip 0.0.0.0

tare所在机器

git clone https://github.com/Wh0am123/MCP-Kali-Server.git

cd MCP-Kali-Server

pip install -r requirements.txt

在前面创建的智能体添加kali mcp :

{

  "mcpServers": {

    "kali-mcp": {

      "command": "cmd",

      "args": [

        "/c",

        "python3",

        "C:\\xxxxx\\MCP-Kali-Server-main\\mcp_server.py",

        "--server",

        "http://192.168.111.164:5000"

      ]

    }

  }

}

测试

可选模型：

WEB

这是一个CTF web题目，调用burp mcp 和kali mcp 及适当的方法，解题找出flag：

[网鼎杯 2020 青龙组]AreUSerialz1  靶机信息 http://71f99dc6-88d3-4584-9e73-c76624492c5d.node5.buuoj.cn:81

Misc

这是一个CTF Misc题目，调用burp mcp 和kali mcp 及适当的方法，解题找出并输出flag：

黑客通过wireshark抓到管理员登陆网站的一段流量包（管理员的密码即是答案) 注意：得到的 flag 请包上 flag{} 提交。 流量包在根目录以及kali的/home/kali/ctf目录下

下面是一则内部学习圈广告😜

别着急退，看完的师傅们有福了/doge

欢迎师傅们加入内部网络安全学习圈子。圈子提供三大板块的内容：

1

网络安全0→1学习路径

1. 完整的「30+周安全学习任务路线图」公开，每周任务明确，清晰的学习重点和目标，从入门到进阶，由浅入深，循序渐进；
2. 学习内容涵盖：

• 常见的Web漏洞原理与利用

• 业务逻辑漏洞挖掘

• SRC实战技巧

• WAF绕过、代码审计、免杀钓鱼

• 内网渗透

  （Linux&Windows）提权与权限维持

• 隧道代理、域渗透、云安全、AI安全

1. 每周发布学习任务+参考资料+建议，学员可自主学习+实战练习；

2

SRC漏洞专项挖掘

1. SRC漏洞知识库持续更新；
2. SRC挖掘技巧、分析方法、视频教程打包；
3. 分享优质挖矿案例，降低上手门槛，教你赚赏金。

3

常态化内容更新

日常分享优质学习资源与攻防渗透技巧，包括但不限于：

1. 红队/蓝队安全攻防、免杀、钓鱼技巧、攻防渗透tips；
2. 学习路线推荐，教程、方法、技巧tips打包分享，实战视频、工具、手册一应俱全；
3. 根据网络安全初中级学习者水平，精选最有用的内容，不让你在信息洪流中迷路。

此前的一下学习记录：

考证咨询

最优惠报考各类安全证书(NISP/CISP/CISSP/PTE/PTS/PMP/IRE等….)，后台回复”好友位”咨询。

关注我们

点个【 在看 】，你最好看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Z2O安全攻防 低价考证，滴滴→《使用burpMCP和kaliMCP自动化渗透》