xepor

Xepor (ينطق /ˈzɛfə/ ، zephyr) هو إطار توجيه ويب للمهندسين العكسيين والباحثين الأمنيين. يوفر واجهة برمجة تطبيقات تشبه Flask للمتسللين لاعتراض وتعديل طلبات HTTP و/أو استجابات HTTP بأسلوب ترميز صديق للإنسان.

من المفترض أن يتم استخدام هذا المشروع مع mitmproxy. يكتب المستخدمون البرامج النصية باستخدام xepor ، ويقومون بتشغيل البرنامج النصي داخل mitmproxy باستخدام mitmproxy -s your-script.py .

إذا كنت تريد الانتقال من إثبات المفهوم (PoC) إلى الإنتاج، ومن العرض التوضيحي (على سبيل المثال http-reply-from-proxy.py وhttp-trailers.py وhttp-stream-modify.py) إلى شيء يمكنك الحصول عليه باستخدام WiFi Pineapple، إذن زيبور هو لك!

1. قم بترميز كل شيء باستخدام @api.route() ، تمامًا مثل Flask! اكتب كل شيء في نص واحد وليس if..else غير ذلك.
2. التعامل مع مسارات URL المتعددة، وحتى المضيفين المتعددين في مثيل InterceptedAPI واحد.
3. بالنسبة لكل مسار، يمكنك اختيار تعديل الطلب قبل الاتصال بالخادم (أو حتى إرجاع استجابة زائفة دون الاتصال بالمنبع)، أو تعديل الاستجابة قبل إعادة توجيهها إلى المستخدم.
4. وضع القائمة السوداء أو وضع القائمة البيضاء. السماح فقط لنقاط نهاية URL المحددة في البرامج النصية بالاتصال بالمنبع، وحظر كل شيء آخر (في مجالات محددة) باستخدام HTTP 404. مناسب للوكيل الشفاف.
5. تعريف مسار عنوان URL الذي يمكن قراءته بواسطة الإنسان ومطابقته مدعومًا بالتحليل
6. إعادة تعيين المضيف. حدد القواعد لإعادة التوجيه إلى المنبع الحقيقي من مضيفيك المزيفين. يتم دعم مطابقة Regex. الأفضل لتجريد SSL وتكسير التراخيص من جانب الخادم !
7. بالإضافة إلى كل التوفيق من mitmproxy! جميع أوضاع التشغيل ( mitmproxy / mitmweb + regular / transparent / socks5 / reverse:SPEC / upstream:SPEC ) مدعومة بالكامل.

1. نقطة الوصول الشريرة والتصيد الاحتيالي من خلال MITM.
2. استنشاق حركة المرور من الجهاز المستهدف بواسطة iptables + وكيل شفاف، وتعديل الحمولة باستخدام xepor أثناء التنقل.
3. تكسير ترخيص البرامج المستندة إلى السحابة. انظر الأمثلة/krisp/ كمثال.
4. اكتب زاحف ويب معقدًا في حوالي 100 سطر من التعليمات البرمجية . انظر الأمثلة/polyv_scrapper/ كمثال.
5. ... وغيرها الكثير.

لا يتم توفير تجريد SSL في هذا المشروع.

pip install xepor

خذ البرنامج النصي من الأمثلة/httpbin كمثال.

mitmweb -s example/httpbin/httpbin.py

قم بتعيين وكيل HTTP للمتصفح الخاص بك على http://127.0.0.1:8080 ، وقم بالوصول إلى واجهة الويب على http://127.0.0.1:8081/.

أرسل طلب GET من http://httpbin.org/#/HTTP_Methods/get_get، ثم يمكنك رؤية التعديل الذي أجراه Xepor في واجهة mitmweb أو أدوات تطوير المتصفح أو Wireshark.

يقوم httpbin.py بأمرين.

1. عندما يصل المستخدم إلى http://httpbin.org/get، قم بإدخال معلمة سلسلة استعلام payload=evil_param داخل طلب HTTP.
2. عندما يصل المستخدم إلى http://httpbin.org/basic-auth/xx/xx/ (نتظاهر فقط بأننا لا نعرف كلمة المرور)، نتعرف على رؤوس Authorization من طلبات HTTP ونطبع كلمة المرور إلى المهاجم.

تمامًا ما يفعله mitmproxy دائمًا، ولكن مع التعليمات البرمجية المكتوبة بطريقة xepor .

 # https://github.com/xepor/xepor-examples/tree/main/httpbin/httpbin.py
from mitmproxy . http import HTTPFlow
from xepor import InterceptedAPI , RouteType


HOST_HTTPBIN = "httpbin.org"

api = InterceptedAPI ( HOST_HTTPBIN )


@ api . route ( "/get" )
def change_your_request ( flow : HTTPFlow ):
    """
    Modify URL query param.
    Test at:
    http://httpbin.org/#/HTTP_Methods/get_get
    """
    flow . request . query [ "payload" ] = "evil_param"


@ api . route ( "/basic-auth/{usr}/{pwd}" , rtype = RouteType . RESPONSE )
def capture_auth ( flow : HTTPFlow , usr = None , pwd = None ):
    """
    Sniffing password.
    Test at:
    http://httpbin.org/#/Auth/get_basic_auth__user___passwd_
    """
    print (
        f"auth @ { usr } + { pwd } :" ,
        f"Captured { 'successful' if flow . response . status_code < 300 else 'unsuccessful' } login:" ,
        flow . request . headers . get ( "Authorization" , "" ),
    )


addons = [ api ]