Conférence sur XeeK à la NDH 2010
21 février 2010 – 14:27Comme certains ont pu le voir sur Twitter ou sur le site de la NDH, j’ai repris le développement de XeeK, un projet de framework d’exploitation de faille XSS. J’ai déjà présenté une ébauche de ce projet à la Nuit Du Hack 2009, que j’ai stoppé entre temps, faute de temps (oui, je sais, c’est mal). Mais rassurez-vous : début janvier, je me suis remis en tête de reprendre ce projet et d’en publier une version stable à la NDH 2010. En attendant la mise en place d’une page dédiée au projet, voici quelques informations sur les nouveautés à venir.
XeeK is not dead
Ainsi, je travaille activement sur le projet depuis plus d’un mois. J’ai profité de l’expérience de mes collègues pour faire une petit brainstorm sur l’état du projet, et ainsi obtenir de nouvelles idées. Comme certaines de ces idées remettaient en cause la structure mise en place, j’ai préféré reprendre le développement du projet from scratch.
Quoi de neuf depuis 2009 ?
Plusieurs personnes ont développé des outils aux fonctionnalités similaires (Beef, XSS Shell, etc). Plutôt que de réinventer la roue, j’ai préféré m’inspirer de ces outils afin d’intégrer leurs bonnes idées dans la plateforme. Voici quelques unes des nouvelles fonctionnalités prévues pour le moment : (cette liste est susceptible d’évoluer dans les mois à venir)
- L’architecture est désormais de type client – serveur
- Les deux entités communiquent via une API basée sur HTTP/JSON
- Cette architecture permettra de développer de multiples clients, un peu sur le modèle de Metasploit :
- Interface console
- Interface Web
- Interface graphique (applicative)
- Pourquoi pas une extension Firefox
- Abandon du concept de « scheduler » ; les instructions sont désormais toujours récupérées dynamiquement
- Concept de chaine d’exploits : suite d’instructions qui s’enchaînent
- De nouveaux exploits sont prévus
- Scan de port du réseau interne
- Récupération d’historique
- Proxy
Au niveau technique, ce nouveau XeeK nécessitera PHP >= 5.3.0 (à cause des Late Static Bindings), MySQL ainsi que Python pour l’interface en ligne de commande.
Licence
Ce projet est développé principalement dans le cadre de mon temps R&D chez Sysdream. Il sera diffusé en GPL suite à la conférence que je donnerai à la prochaine Nuit Du Hack. Un SVN ainsi qu’un wiki seront certainement mis en place pour permettre aux intéressés de récupérer les sources ainsi que la documentation.
En attendant le 19 juin, si vous avez des idées / suggestions, n’hésitez pas
6 réponses à “Conférence sur XeeK à la NDH 2010”
Salut Trance,
Content de voir que tu ne laisses pas tomber ce projet.
Si XeeK nécessitera python, faudra-t-il trouver un hébergeur qui permette d’interpréter ce langage ?
A+
Geo
Par Geo le 22 février 2010
Non, Python ce sera uniquement pour le client. Le serveur ne nécessitera que PHP/MySQL.
Par Emilien Girault le 22 février 2010
J’espère qu’on aura droit à quelque chose de plus finie qu’une interface phpmyadmin cette fois :p
Par pierz le 22 février 2010
T’inquiètes . Je bosse dessus en ce moment…
Par Emilien Girault le 22 février 2010