
















以下为项目介绍正文内容,AI生成、润色内容已使用截图方式发出
先来问个问题:
看到这个界面,渗透测试怎么做?
公布答案:
这个404背后其实是个MCP Server,连着内网文件系统,无认证,工具列表公开可读。AgentScan发现了它,你的扫描器没有。
MCP Server的根路径本来就返回 404,真正的入口在 /mcp 或 /sse。Nmap 告诉你"这里有个 HTTP 服务",你看了眼 404 就关掉了,正常流程到这就断了。红队打外网,这种服务很容易被跳过,背后可能连着文件读写、命令执行、数据库查询。内网横向也一样,开发机和测试环境跑 Ollama 或 MCP 很常见,不在常规扫描范围,默认无认证。FOFA 导出一批 IP 丢进去,AgentScan 直接出工具列表和认证状态,省去逐个手戳的时间。
对于蓝队,你不一定知道内网有几个 AI 服务。研发随手起一个 MCP Server,连上自己的工具,开发完就扔在那了,没人管。上线前跑一次,确认有没有多暴露工具、有没有漏加认证;出事之后第一步不用靠猜,哪个服务、哪些工具、什么认证状态,扫完就清楚。
agentscan支持的协议:
| 协议 | 识别内容 |
|---|---|
| MCP Server | Streamable HTTP、HTTP+SSE legacy、工具/资源/提示词列表、认证状态、蜜罐信号 |
| A2A Agent | Agent Card、skills、interfaces、无认证 JSON-RPC 可达性、私网地址泄露 |
| LLM 开放接口 | Ollama、vLLM、SGLang、TGI、llama.cpp、Xinference、LiteLLM、FastChat、LocalAI、LM Studio、LMDeploy |
MCP 和 A2A 这层暴露面目前基本没人在管——开发者不觉得是安全问题,安全团队不知道它的存在。但它的危害一点不比传统漏洞小,甚至更直接:不需要绕 WAF、不需要找注入点、不需要提权,服务本身就是高权限的。
我从候选目标中随机抽了 50 个做验证——发现 15 个无鉴权 MCP,总共暴露 116 个可调用 tool;1 个 A2A 服务;9 个裸奔的 LLM 平台。重点是那 15 个 MCP 里有好几个挂着 filesystem 和 shell tool,等于直接送 RCE。
以下是 AgentScan 的几张报告截图:
详细原理等可以看我的博客 Agentscans | 7anX 的博客
工具已经开源,有想法欢迎提 issue、补指纹,顺手 Star 一下就更好了。
仅用于合法授权的安全测试。
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。