xepor

Xepor (pronuncia-se /ˈzɛfə/ , zephyr) é uma estrutura de roteamento da web para engenheiros reversos e pesquisadores de segurança. Ele fornece uma API semelhante ao Flask para hackers interceptarem e modificarem solicitações HTTP e/ou respostas HTTP em um estilo de codificação amigável.

Este projeto deve ser usado com mitmproxy. Os usuários escrevem scripts com xepor e executam o script dentro de mitmproxy com mitmproxy -s your-script.py .

Se você quiser passar do PoC para a produção, da demonstração (por exemplo, http-reply-from-proxy.py, http-trailers.py, http-stream-modify.py) para algo que você possa tirar com seu WiFi Pineapple, então Xepor é para você!

1. Codifique tudo com @api.route() , assim como o Flask! Escreva tudo em um script e if..else mais.
2. Lide com várias rotas de URL, até mesmo vários hosts em uma instância InterceptedAPI .
3. Para cada rota, você pode optar por modificar a solicitação antes de conectar-se ao servidor (ou até mesmo retornar uma resposta falsa sem conexão com o upstream) ou modificar a resposta antes de encaminhá-la ao usuário.
4. Modo de lista negra ou modo de lista de permissões. Permitir apenas que endpoints de URL definidos em scripts se conectem ao upstream, bloqueando todo o resto (em domínios específicos) com HTTP 404. Adequado para proxy transparente.
5. Definição e correspondência de caminho de URL legível por humanos com tecnologia de análise
6. Remapeamento de host. defina regras para redirecionar para upstream genuíno de seus hosts falsos. A correspondência Regex é suportada. Melhor para remoção de SSL e quebra de licença do lado do servidor !
7. Além de tudo de melhor do mitmproxy! TODOS os modos de operação ( mitmproxy / mitmweb + regular / transparent / socks5 / reverse:SPEC / upstream:SPEC ) são totalmente suportados.

1. Evil AP e phishing através do MITM.
2. Farejando o tráfego do dispositivo de destino por iptables + proxy transparente, modifique a carga útil com xepor em tempo real.
3. Quebra de licença de software baseada em nuvem. Veja exemplos/krisp/ como exemplo.
4. Escreva um rastreador da web complicado em aproximadamente 100 linhas de código . Veja exemplos/polyv_scrapper/ como exemplo.
5. ... e muito mais.

A remoção de SSL NÃO é fornecida por este projeto.

pip install xepor

Pegue o script de exemplos/httpbin como exemplo.

mitmweb -s example/httpbin/httpbin.py

Defina o proxy HTTP do navegador como http://127.0.0.1:8080 e acesse a interface da web em http://127.0.0.1:8081/.

Envie uma solicitação GET de http://httpbin.org/#/HTTP_Methods/get_get, então você poderá ver a modificação feita pelo Xepor na interface mitmweb, ferramentas de desenvolvimento do navegador ou Wireshark.

O httpbin.py faz duas coisas.

1. Quando o usuário acessar http://httpbin.org/get, injete um parâmetro de string de consulta payload=evil_param dentro da solicitação HTTP.
2. Quando o usuário acessa http://httpbin.org/basic-auth/xx/xx/ (apenas fingimos que não sabemos a senha), detectamos os cabeçalhos Authorization das solicitações HTTP e imprimimos a senha para o invasor.

Exatamente o que o mitmproxy sempre faz, mas com código escrito no modo xepor .

 # https://github.com/xepor/xepor-examples/tree/main/httpbin/httpbin.py
from mitmproxy . http import HTTPFlow
from xepor import InterceptedAPI , RouteType


HOST_HTTPBIN = "httpbin.org"

api = InterceptedAPI ( HOST_HTTPBIN )


@ api . route ( "/get" )
def change_your_request ( flow : HTTPFlow ):
    """
    Modify URL query param.
    Test at:
    http://httpbin.org/#/HTTP_Methods/get_get
    """
    flow . request . query [ "payload" ] = "evil_param"


@ api . route ( "/basic-auth/{usr}/{pwd}" , rtype = RouteType . RESPONSE )
def capture_auth ( flow : HTTPFlow , usr = None , pwd = None ):
    """
    Sniffing password.
    Test at:
    http://httpbin.org/#/Auth/get_basic_auth__user___passwd_
    """
    print (
        f"auth @ { usr } + { pwd } :" ,
        f"Captured { 'successful' if flow . response . status_code < 300 else 'unsuccessful' } login:" ,
        flow . request . headers . get ( "Authorization" , "" ),
    )


addons = [ api ]