文章总结: 本文介绍使用TRAE结合MCP和Skill实现前端JS逆向自动化的实战经验。作者参考先知社区文章,在Windows环境搭建测试环境,通过chrome-devtools-mcp和js-reverse-automation-skill成功对AES+RSA加密场景生成jsrpc注入脚本和autodecoder的Flask脚本,实现Burpsuite明文发包自动加密。但过程中遇到MCP配置选择错误、大模型上下文遗忘需二次微调等问题,且在JSVMP混淆场景下效果很差。结论是该方案能减少脑力消耗但耗时且需人工跟进,对复杂混淆代码处理能力有限。 综合评分: 72 文章分类: AI安全,渗透测试,实战经验,安全工具,漏洞分析
开发环境搭建
- • TRAE
- • chrome-devtools-mcp https://github.com/ChromeDevTools/chrome-devtools-mcp
- • skill https://github.com/Fausto-404/js-reverse-automation–skill
- • JsRpc https://github.com/jxhczhl/JsRpc
TRAE 配置 MCP
{
"mcpServers": {
"chrome-devtools": {
"command": "npx",
"args": [
"-y",
"chrome-devtools-mcp@latest"
]
}
}
}
验证是否成功启动
TRAE 配置 skill
下载 skill:https://github.com/Fausto-404/js-reverse-automation–skill
创建文件夹,放到如下位置
测试 AES + RSA
访问 http://192.168.23.1/
采用 Buildder with MCP
总结
运行中能成功,但过程中会遇到不少问题,需要人跟进。
用起来,不耗脑子,但耗时间,以及容易血压高。
参考资料
- • 【AI 赋能】MCP+Skill 能力下的前端 JS 逆向自动化落地 https://xz.aliyun.com/news/91527
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:进击的HACK 进击的HACK 进击的HACK《TRAE 调用 skill 自动生成 jsrpc和autodecoder脚本》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论