xepor

Xepor (pronunciado /ˈzɛfə/ , zephyr) es un marco de enrutamiento web para ingenieros inversos e investigadores de seguridad. Proporciona una API similar a Flask para que los piratas informáticos intercepten y modifiquen solicitudes HTTP y/o respuestas HTTP en un estilo de codificación amigable para los humanos.

Este proyecto está destinado a usarse con mitmproxy. Los usuarios escriben scripts con xepor y ejecutan el script dentro de mitmproxy con mitmproxy -s your-script.py .

Si desea pasar de PoC a producción, de demostración (por ejemplo, http-reply-from-proxy.py, http-trailers.py, http-stream-modify.py) a algo que pueda sacar con su WiFi Pineapple, entonces ¡Xepor es para ti!

1. Codifique todo con @api.route() , ¡como Flask! Escribe todo en un solo if..else y nada más.
2. Maneje múltiples rutas URL, incluso múltiples hosts en una instancia InterceptedAPI .
3. Para cada ruta, puede optar por modificar la solicitud antes de conectarse al servidor (o incluso devolver una respuesta falsa sin conexión ascendente) o modificar la respuesta antes de reenviarla al usuario.
4. Modo lista negra o modo lista blanca. Solo permita que los puntos finales de URL definidos en scripts se conecten ascendentes, bloqueando todo lo demás (en dominios específicos) con HTTP 404. Adecuado para proxy transparente.
5. Definición y coincidencia de rutas de URL legibles por humanos impulsadas por análisis
6. Reasignación de host. Defina reglas para redirigir a fuentes genuinas desde sus hosts falsos. Se admite la coincidencia de expresiones regulares. ¡Lo mejor para eliminar SSL y descifrar licencias del lado del servidor !
7. ¡Además de todo lo mejor de mitmproxy! TODOS los modos de operación ( mitmproxy / mitmweb + regular / transparent / socks5 / reverse:SPEC / upstream:SPEC ) son totalmente compatibles.

1. Evil AP y phishing a través de MITM.
2. Rastrear el tráfico desde el dispositivo de destino mediante iptables + proxy transparente, modificar la carga útil con xepor sobre la marcha.
3. Crackear una licencia de software basada en la nube. Vea ejemplos/krisp/ como ejemplo.
4. Escriba un rastreador web complicado en ~100 líneas de código . Vea ejemplos/polyv_scrapper/ como ejemplo.
5. ... y muchos más.

Este proyecto NO proporciona la eliminación de SSL.

pip install xepor

Tome el script de ejemplos/httpbin como ejemplo.

mitmweb -s example/httpbin/httpbin.py

Configure el proxy HTTP de su navegador en http://127.0.0.1:8080 y acceda a la interfaz web en http://127.0.0.1:8081/.

Envíe una solicitud GET desde http://httpbin.org/#/HTTP_Methods/get_get. Luego podrá ver la modificación realizada por Xepor en la interfaz mitmweb, las herramientas de desarrollo del navegador o Wireshark.

El httpbin.py hace dos cosas.

1. Cuando el usuario acceda a http://httpbin.org/get, inyecte un parámetro de cadena de consulta payload=evil_param dentro de la solicitud HTTP.
2. Cuando el usuario accede a http://httpbin.org/basic-auth/xx/xx/ (simplemente pretendemos que no conocemos la contraseña), detecta los encabezados Authorization de las solicitudes HTTP e imprime la contraseña al atacante.

Justo lo que siempre hace mitmproxy, pero con código escrito en forma xepor .

 # https://github.com/xepor/xepor-examples/tree/main/httpbin/httpbin.py
from mitmproxy . http import HTTPFlow
from xepor import InterceptedAPI , RouteType


HOST_HTTPBIN = "httpbin.org"

api = InterceptedAPI ( HOST_HTTPBIN )


@ api . route ( "/get" )
def change_your_request ( flow : HTTPFlow ):
    """
    Modify URL query param.
    Test at:
    http://httpbin.org/#/HTTP_Methods/get_get
    """
    flow . request . query [ "payload" ] = "evil_param"


@ api . route ( "/basic-auth/{usr}/{pwd}" , rtype = RouteType . RESPONSE )
def capture_auth ( flow : HTTPFlow , usr = None , pwd = None ):
    """
    Sniffing password.
    Test at:
    http://httpbin.org/#/Auth/get_basic_auth__user___passwd_
    """
    print (
        f"auth @ { usr } + { pwd } :" ,
        f"Captured { 'successful' if flow . response . status_code < 300 else 'unsuccessful' } login:" ,
        flow . request . headers . get ( "Authorization" , "" ),
    )


addons = [ api ]