Як проксирувати з’єднання між користувачем і цільовим веб сервером

Дізнайтеся, як працює технологія фішингового проксі — передова техніка, що дозволяє створити невидимий міст між жертвою та цільовим сайтом, обходячи двофакторну автентифікацію (2FA). У статті розглянуто практичне використання Evilginx3 для перехоплення сесій без паролів.

• Примітка для читачів: Інформація, представлена в цьому матеріалі, базується на технічному змісті майстер-класу з розробки фішлетів Evilginx (2025) — практичного навчального ресурсу, спеціально розробленого для досвідчених фахівців із безпеки, Red Team-операторів, пентестерів та кіберентузіастів. Усі згадані методики, архітектурні принципи та приклади взяті з реальних лабораторних сценаріїв та тренувальних завдань, що відображають сучасні загрози і підходи до реалізації фішингових проксі через Evilginx3.

Майстер-клас охоплює глибокий розбір конфігурацій фішлетів: від налаштування proxy_hosts, sub_filters, cookie_capture та auth_token_capture — до розробки кастомних рішень для обробки складних сценаріїв із CAPTCHA, MFA, редиректами та SPA-інтерфейсами.

Практичний блок курсу включає серію лабораторних завдань, що моделюють реальні атаки через проксі, де учасники створюють фішлети, адаптовані під конкретні сервіси, включаючи Google, Microsoft, AWS, Discord та інші.

Також у матеріалі використано рекомендації щодо усунення типових помилок при створенні YAML-фішлетів, аналізу заголовків HTTP/HTTPS, а також впровадження захисту проти виявлення фішингової активності.

Цей контент оприлюднено виключно з освітньою метою, з повагою до етичних стандартів професійної кібербезпеки.

Оновлені фішлети Evilginx3

У цьому репозиторії представлено обширну колекцію фішлетів для Evilginx3, які були ретельно розроблені та протестовані в умовах реального застосування. Фішлети призначені для використання в рамках тестування на проникнення, Red Team-операцій та оцінки захищеності облікових записів у хмарних і корпоративних середовищах.

Фішлети реалізовані у форматі YAML і налаштовують проксі-зв’язок між користувачем і цільовим вебресурсом, імітуючи легітимну сесію. Завдяки цьому можливо:

• Проксирувати HTTPS-з’єднання між користувачем і сайтом;

• Перехоплювати сесійні токени, cookie, а також HTTP-заголовки;

• Обходити сучасні захисні механізми, включаючи 2FA, CAPTCHA, WebAuthn;

• Виявляти поведінкові особливості систем автентифікації.

Фішлети підтримують інтеграцію з такими платформами, як:

• Microsoft 365

• Google Workspace

• AWS Console

• Discord

• Instagram, Facebook, TikTok, та інші.

Усі шаблони підтримують гнучке налаштування: зони для редиректів, фільтрацію URL, JavaScript-чистки, та автоматичне збереження авторизаційних параметрів. Це дозволяє використовувати Evilginx3 як повноцінний фішинговий проксі для цільового тестування захищеності без необхідності втручання в сам вебсервер.

Фішлети постійно оновлюються відповідно до змін на цільових платформах, щоб залишатися ефективними в актуальному технічному середовищі.

Фішлети Evilginx3: повний гайд із розробки та налаштування

Для спеціалістів у сфері кібербезпеки, які прагнуть поглибити свої навички у фішингових атаках через зворотне проксі, фішлети Evilginx3 — це ключ до практичного впровадження високоточних інструментів наступального тестування. Завдяки широким можливостям налаштування, фішлети дозволяють створювати гнучкі схеми перехоплення сесій та обхід сучасних механізмів захисту.

 Основні компоненти фішлета Evilginx3:

• proxy_hosts — визначає, які домени та ресурси проксируються через зворотне проксі;

• sub_filters — фільтрація вмісту HTML/JS для заміни URL, скриптів, форм;

• js_inject — ін’єкція кастомного JavaScript-коду для обходу захистів та збору даних;

• auth_urls / login_urls — вказують на ключові точки входу, де відбувається захоплення сесій;

• cookie_capture / auth_token_capture — механізми перехоплення сесійних cookie та авторизаційних токенів;

• force_post — логіка автоматичного надсилання форм автентифікації для збереження безшовного потоку входу.

Що дозволяють реалізувати фішлети Evilginx3

• Проксирування HTTPS-з’єднань між жертвою та легітимним сервером;

• Перехоплення облікових даних та авторизаційних токенів без видимих ознак атаки;

• Обхід 2FA, CAPTCHA, FIDO2, завдяки симуляції повноцінної сесії браузера;

• Використання регулярних виразів для точного вилучення потрібних фрагментів HTTP-запитів та відповідей;

• Маскування фішингової сесії під звичне користувачеві середовище.

Реальне використання

Фішлети постійно оновлюються під зміни в структурах популярних вебплатформ. Вони ефективно застосовуються для:

• Red Team-операцій в корпоративному середовищі;

• демонстрації вразливостей під час pentest-кампаній;

• тренування Blue Team-спеціалістів у виявленні складних фішингових проксі.

Завдяки гнучкій структурі конфігурацій та широким можливостям ін’єкції, Evilginx3 дозволяє моделювати навіть найскладніші атаки на сервіси з жорсткою аутентифікацією та контролем сесій.

Шаблон фішлета Simpler Hacking Evilginx (використовуйте цей шаблон, щоб створити свій власний!)

name: 'Your First Phishlet'
author: 'Simpler Hacking'
min_ver: '3.2.0'

proxy_hosts:
  - { phish_sub: 'www', orig_sub: 'www', domain: '{domain}', session: true, is_landing: true }

sub_filters: 
  - { hostname: '{hostname}', sub: 'www', domain: '{domain}', search: '{domain}', replace: '{hostname}', mimes: ['text/html', 'application/javascript', 'text/css', 'application/json', 'image/x-icon', 'text/plain', 'application/xml', 'image/*', 'font/*']} 
  - { hostname: '{hostname}', sub: 'www', domain: '{domain}', search: '{domain}', replace: '{hostname}', mimes: ['application/x-www-form-urlencoded']}

auth_tokens:
  - domain: '{domain}'
    keys: ['session']

creds:
  - key: 'username'
    search: ['(.*)']
    type: 'post'
  - key: 'password'
    search: ['(.*)']
    type: 'post'

auth_urls:
  - url_regex: 'https://{hostname}/login'
    valid_statuses: [200]

login:
  username: user
  password: pass
  url: https://www.{domain}/login

# This is just a demo example of a phishlet for 3.2.0

# You can find phishlets here: https://github.com/simplerhacking/Evilginx3-Phishlets

Пояснення параметрів фішлета:

• name:Визначає назву фішлета.

• author:Вказує автора фішлету.

• min_ver:Вказує мінімальну версію Evilginx, сумісну з вашим фішлетом.

• proxy_hosts:Вказує домен та піддомени для проксі-серверу. phish_subЦе піддомен, який імітуватиме фішингова сторінка.

• sub_filters:Дозволяє фішлету замінювати екземпляри фактичного доменного імені фішинговим доменом, що є критично важливим для правильної роботи фішингової сторінки.

• auth_tokens:Визначає файли cookie, які слід отримати з браузера жертви для отримання доступу до сеансу жертви.

• creds:Це поле визначає облікові дані, які фішлет має викрасти. — keyце назва облікових даних (наприклад, ім’я користувача або пароль) та searchрегулярний вираз, який програма використовуватиме для ідентифікації та вилучення цих даних з введених користувачем даних.

• auth_urls:Визначає URL-адреси, які Evilginx розглядатиме як автентифіковані URL-адреси. Після входу жертви в систему Evilginx шукатиме перенаправлення на одну з цих URL-адрес, після чого викраде перелічені файли auth_tokens.

• login:Тут ви вказуєте ідентифікатори полів імені користувача та пароля у формі входу на оригінальній веб-сторінці. – urlце посилання на сторінку, де жертва вводить свої облікові дані.

• force_post:Якщо встановлено значення true, це примусово змінює метод HTTP з GET на POST.

• is_landing:Якщо встановлено значення «true», це означає, що сторінка є цільовою сторінкою для фішингової атаки.

• js_inject:Тут ви можете написати JavaScript-код для вставки на веб-сторінку. Зазвичай це використовується для посилення фішингової атаки та забезпечення більш плавного взаємодії з жертвою.

• domain:Це змінна шаблону, яка використовується для заміни імені цільового хоста, що використовується в конфігурації фішлета.

Висновок

Матеріал, представлений у цій статті, є результатом глибокого технічного аналізу та практичного застосування сучасних фішлетів для Evilginx3. Він заснований на реальних лабораторних сценаріях, що враховують останні виклики у сфері кібербезпеки: від обходу багатофакторної автентифікації до тонкої настройки проксі-зв’язку та перехоплення авторизаційних токенів.

Описані тут фішлети не лише демонструють технічну досконалість, а й є надійною основою для побудови власних адаптивних рішень — від корпоративного Red Team-моделювання до освітніх тренінгів для кіберзахисників. YAML-шаблони, структура фільтрів, механізми захоплення даних та JavaScript-ін’єкції — усе це формує ядро передової фішингової платформи.

Фішлети Evilginx3 — це не просто скрипти, а високоточні інструменти, створені з урахуванням найдрібніших деталей взаємодії з цільовими платформами. Їх постійне оновлення та адаптація до змін вебінтерфейсів роблять їх безцінними для сучасних спеціалістів із безпеки, які прагнуть діяти проактивно, професійно та відповідально.