使用trae+MCP+sklil进行自动化挖掘漏洞 - 渗透测试中心
一、trae下对 burpsuit http mcp工具进行添加https://www.trae.ai/download将下面代码添加到MCP中: {  "mcpServers": { 2026-7-1 05:25:0 Author: www.cnblogs.com(查看原文) 阅读量:19 收藏

一、trae下对 burpsuit http mcp工具进行添加

https://www.trae.ai/download

image-20260530150005966

image-20260530134359718

image-20260530134415018

将下面代码添加到MCP中:

 {
  "mcpServers": {
    "burp-ai-agent": {
      "url": "http://127.0.0.1:9876"
    }
  }
 }

image-20260530134455356

二、挖掘漏洞的SKILL添加

image-20260530134638427

image-20260530134831664

image-20260530135002057

三、bupust的MCP插件添加

通过bupsuit自带的商店插件进行安装mcp 插件

image-20260530135204988

然后启动burpsuit MCP,并将本次历史记录中要测试的域名如:www.yunming.com进行添加。

image-20260530135119062

四、大模型的选择

这里我选择deepske V4模型,国内的阿里云qianwen3.7max,MIMIMAX2.7都快可以,国内对渗透测试的道德限制少。国外的codex,claude都会有道德限制。特别是codex需要安全身份认证才能用。cluade也能用,需要绕过词进行绕过。

进入deepsek的API后台中心进行购买,且添加key

https://platform.deepseek.com/api_keys

image-20260530140104692

image-20260530140129513

trae下添加自定义deepsek v4.0版本

image-20260530135938215

选择自定义模型deepsek

image-20260530140223674

image-20260530140241887

五、站点漏洞测试

http://testasp.vulnweb.com/showforum.asp?id=0

对其该网站每个功能都点击测试。

image-20260530140648044

在bupsuit中http历史记录中有很多URL连接地址

image-20260530140726795

对测试的目标在MCP中添加域名

image-20260530141141205

然后调用AI对http历史记录进行漏洞分析。

image-20260530141956030

image-20260530142027199

image-20260530142040308

image-20260530142051627


文章来源: https://www.cnblogs.com/backlion/p/20999711
如有侵权请联系:admin#unsafe.sh