xepor

Xepor (произносится /ˈzɛfə/ , zephyr) — это платформа веб-маршрутизации для реверс-инженеров и исследователей безопасности. Он предоставляет хакерам API-интерфейс Flask для перехвата и изменения HTTP-запросов и/или HTTP-ответов в удобном для человека стиле кодирования.

Этот проект предназначен для использования с mitmproxy. Пользователи пишут сценарии с помощью xepor и запускают сценарий внутри mitmproxy с помощью mitmproxy -s your-script.py .

Если вы хотите перейти от PoC к производству, от демонстрации (например, http-reply-from-proxy.py, http-trailers.py, http-stream-modify.py) к чему-то, что вы можете использовать с помощью WiFi Pineapple, тогда Ксепор для вас!

1. Кодируйте все с помощью @api.route() , как во Flask! Напишите все в одном скрипте и больше никаких if..else .
2. Обрабатывайте несколько URL-маршрутов и даже несколько хостов в одном экземпляре InterceptedAPI .
3. Для каждого маршрута вы можете изменить запрос перед подключением к серверу (или даже вернуть поддельный ответ без подключения к восходящему каналу) или изменить ответ перед пересылкой пользователю.
4. Режим черного списка или режим белого списка. Разрешить только конечным точкам URL-адресов, определенным в сценариях, подключаться к восходящему потоку, блокируя все остальное (в определенных доменах) с помощью HTTP 404. Подходит для прозрачного проксирования.
5. Удобочитаемое определение пути URL-адреса и сопоставление на основе синтаксического анализа
6. Переназначение хоста. определите правила для перенаправления на подлинный восходящий поток с ваших фальшивых хостов. Поддерживается сопоставление регулярных выражений. Лучше всего подходит для удаления SSL и взлома лицензий на стороне сервера !
7. Плюс все самое лучшее от mitmproxy! ВСЕ режимы работы ( mitmproxy / mitmweb + regular / transparent / socks5 / reverse:SPEC / upstream:SPEC ) полностью поддерживаются.

1. Злая AP и фишинг через MITM.
2. Перехват трафика с целевого устройства с помощью iptables + прозрачный прокси, изменение полезной нагрузки с помощью xepor на лету.
3. Взлом лицензии на облачное программное обеспечение. См. примеры/krisp/ в качестве примера.
4. Напишите сложный веб-сканер примерно в 100 строк кода . См. примеры/polyv_scraper/ в качестве примера.
5. ... и многое другое.

Удаление SSL НЕ предусмотрено этим проектом.

pip install xepor

В качестве примера возьмите скрипт из example/httpbin.

mitmweb -s example/httpbin/httpbin.py

Установите HTTP-прокси браузера на http://127.0.0.1:8080 и получите доступ к веб-интерфейсу по адресу http://127.0.0.1:8081/.

Отправьте запрос GET с http://httpbin.org/#/HTTP_Methods/get_get. Затем вы сможете увидеть изменения, внесенные Xepor в интерфейсе mitmweb, инструментах разработки браузера или Wireshark.

httpbin.py делает две вещи.

1. Когда пользователь обращается к http://httpbin.org/get, введите параметр строки запроса payload=evil_param внутри HTTP-запроса.
2. Когда пользователь обращается к http://httpbin.org/basic-auth/xx/xx/ (мы просто притворяемся, что не знаем пароля), перехватываем заголовки Authorization из HTTP-запросов и выводим пароль злоумышленнику.

Именно то, что всегда делает mitmproxy, но с кодом, написанным в стиле xepor .

 # https://github.com/xepor/xepor-examples/tree/main/httpbin/httpbin.py
from mitmproxy . http import HTTPFlow
from xepor import InterceptedAPI , RouteType


HOST_HTTPBIN = "httpbin.org"

api = InterceptedAPI ( HOST_HTTPBIN )


@ api . route ( "/get" )
def change_your_request ( flow : HTTPFlow ):
    """
    Modify URL query param.
    Test at:
    http://httpbin.org/#/HTTP_Methods/get_get
    """
    flow . request . query [ "payload" ] = "evil_param"


@ api . route ( "/basic-auth/{usr}/{pwd}" , rtype = RouteType . RESPONSE )
def capture_auth ( flow : HTTPFlow , usr = None , pwd = None ):
    """
    Sniffing password.
    Test at:
    http://httpbin.org/#/Auth/get_basic_auth__user___passwd_
    """
    print (
        f"auth @ { usr } + { pwd } :" ,
        f"Captured { 'successful' if flow . response . status_code < 300 else 'unsuccessful' } login:" ,
        flow . request . headers . get ( "Authorization" , "" ),
    )


addons = [ api ]