Initial

yoricya · yoricya · commit e5001ec4cf14 · 2026-02-14T19:14:04.000+05:00
diff --git a/.gitignore b/.gitignore
@@ -0,0 +1,2 @@
+/mitm-ca.crt
+/mitm-ca.key
diff --git a/README.md b/README.md
@@ -0,0 +1,22 @@
+# Рабочий ютуб без как такового ну или явного дурения ТСПУ
+
+__Как это работает?__
+
+Браузер подключается к прокси, прокси делает MITM с браузером и открывает новое TLS соединение с сервером устанавливая SNI в соответствии с маппингами в __spoof.list__, НО, дальнейший HTTP трафик полностью проксируется без изменений, то есть заголовок `Host:` остается неизменным.
+
+ТСПУ видит `SNI = www.google.com`, сервер гугла видит HTTP заголовок `Host: www.youtube.com`, и каким то чудом возвращает ответ для YouTube.com а не Google.com.
+
+При попытке прикрыть этот способ, РКН полностью убьет Google, для РКН сломать гугл пока-что дорогое удовольствие, поэтому это будет работать до тех пор, пока Россия окончательно не отрезалась от глобальной сети.
+
+Код тут полностью навайбкоден нейронкой, так как задача была проверить теорию а не написать что-то производительное.
+
+Сертификат возвращаемый сервером имеет альтернативные доменные имена, и чтобы не было ошибок валидности сертификата - домены для спуфа надо подбирать, например сертификат при подключении к www.google.com подойдет и для www.youtube.com. В случае с GGC (ну или googlevideo.com) нужно подбирать домен для спуфа из альтернативных имен этого самого GGC. Подбирать домены можно ориентируясь этому `❌ Handshake with www.google.com failed: tls: failed to verify certificate: x509: certificate is valid for *.c.docs.google.com, *.a1.googlevideo.com, *.bdn.dev, *.oo
+rigin-test.bdn.dev, *.c.2mdn.net, *.c.bigcache.googleapis.com, *.c.chat.google.com, *.c.doc-0-0-sj.sj.googleusercontent.com, *.c.drive.google.com, *.c.googlesyndication.com, *.c.google
+video.com, *.c.mail.google.com, *.c.mail.googleusercontent.com, *.c.pack.google.com, *.c.play.google.com, *.c.youtube.com, *.dai.googlevideo.com, *.googlevideo.com, *.googlezip.net, *.gvt1.com, *.offline-maps.gvt1.com, *.snap.gvt1.com, *.gcpcdn.gvt1.com, xn--ngstr-lra8j.com, *.xn--ngstr-lra8j.com, not www.google.com
+`, звёздочка в домене это Wildcard сертификат, можно и нужно ее заменить на любой текст либо существующее доменное имя GGC, проще говоря: если `*.c.docs.google.com` то `c.docs.google.com` -> failed to verify, однако `aboba.c.docs.google.com` -> сработает.
+
+А что если просто менять SNI и не делать MITM? Мне не удалось заставить это работать, увы, но видимо генерируемые ключи зависят от SNI, и при попытке подменить SNI я получаю `curl: (35) schannel: next InitializeSecurityContext failed: SEC_E_DECRYPT_FAILURE (0x80090330) - Указанные данные не могут быть расшифрованы.`
+
+Однако это явно имеет какой-либо потенциал.
+
+__If you're a Google engineer, I kindly ask you not to change anything on the servers. They are working perfectly, thx.__
diff --git a/go.mod b/go.mod
@@ -0,0 +1,3 @@
+module YouTubeByMITM
+
+go 1.25
diff --git a/main.go b/main.go
@@ -0,0 +1,287 @@
+package main
+
+import (
+	"bufio"
+	"crypto/rand"
+	"crypto/rsa"
+	"crypto/tls"
+	"crypto/x509"
+	"crypto/x509/pkix"
+	"encoding/pem"
+	"fmt"
+	"io"
+	"log"
+	"math/big"
+	"net"
+	"net/http"
+	"os"
+	"strings"
+	"sync"
+	"time"
+)
+
+const (
+	caCertFile = "mitm-ca.crt"
+	caKeyFile  = "mitm-ca.key"
+	spoofFile  = "spoof.list"
+	proxyPort  = ":8080"
+)
+
+var (
+	caCert    *x509.Certificate
+	caKey     *rsa.PrivateKey
+	certCache = make(map[string]tls.Certificate)
+	certMu    sync.Mutex
+	spoofMap  = make(map[string]string) // origin -> spoof_to
+)
+
+func loadSpoofMap() error {
+	file, err := os.Open(spoofFile)
+	if os.IsNotExist(err) {
+		// Создаём дефолтный файл
+		defaultContent := `# Format: origin_domain -> spoof_to_domain
+youtube.com -> www.google.com
+ytimg.com -> www.google.com
+googlevideo.com -> c.drive.google.com
+`
+		os.WriteFile(spoofFile, []byte(defaultContent), 0644)
+		log.Printf("✅ Created default %s", spoofFile)
+		file, _ = os.Open(spoofFile)
+	} else if err != nil {
+		return err
+	}
+	defer file.Close()
+
+	scanner := bufio.NewScanner(file)
+	lineNum := 0
+	for scanner.Scan() {
+		lineNum++
+		line := strings.TrimSpace(scanner.Text())
+		if line == "" || strings.HasPrefix(line, "#") {
+			continue
+		}
+
+		parts := strings.Split(line, "->")
+		if len(parts) != 2 {
+			log.Printf("⚠️  Line %d: invalid format (expected 'origin -> spoof')", lineNum)
+			continue
+		}
+
+		origin := strings.TrimSpace(parts[0])
+		spoof := strings.TrimSpace(parts[1])
+		spoofMap[origin] = spoof
+		log.Printf("  📥 %s → %s", origin, spoof)
+	}
+
+	if len(spoofMap) == 0 {
+		log.Printf("⚠️  No mappings found in %s, using defaults", spoofFile)
+		spoofMap["youtube.com"] = "www.google.com"
+		spoofMap["ytimg.com"] = "www.google.com"
+		spoofMap["googlevideo.com"] = "c.drive.google.com"
+	}
+
+	return scanner.Err()
+}
+
+func getSpoofTarget(host string) (string, bool) {
+	host = strings.ToLower(strings.Split(host, ":")[0])
+	for origin, spoof := range spoofMap {
+		if strings.HasSuffix(host, origin) || host == origin {
+			return spoof, true
+		}
+	}
+	return "", false
+}
+
+func loadOrCreateCA() error {
+	if _, err := os.Stat(caCertFile); err == nil {
+		certData, _ := os.ReadFile(caCertFile)
+		keyData, _ := os.ReadFile(caKeyFile)
+
+		block, _ := pem.Decode(certData)
+		caCert, _ = x509.ParseCertificate(block.Bytes)
+
+		block, _ = pem.Decode(keyData)
+		caKey, _ = x509.ParsePKCS1PrivateKey(block.Bytes)
+		return nil
+	}
+
+	priv, _ := rsa.GenerateKey(rand.Reader, 2048)
+	template := &x509.Certificate{
+		SerialNumber: big.NewInt(1),
+		Subject: pkix.Name{
+			Organization: []string{"SNI Spoof Proxy"},
+			CommonName:   "SNI Spoof CA",
+		},
+		NotBefore:             time.Now(),
+		NotAfter:              time.Now().Add(10 * 365 * 24 * time.Hour),
+		KeyUsage:              x509.KeyUsageKeyEncipherment | x509.KeyUsageDigitalSignature | x509.KeyUsageCertSign,
+		ExtKeyUsage:           []x509.ExtKeyUsage{x509.ExtKeyUsageServerAuth, x509.ExtKeyUsageClientAuth},
+		BasicConstraintsValid: true,
+		IsCA:                  true,
+	}
+
+	certBytes, _ := x509.CreateCertificate(rand.Reader, template, template, &priv.PublicKey, priv)
+	certPEM := pem.EncodeToMemory(&pem.Block{Type: "CERTIFICATE", Bytes: certBytes})
+	keyPEM := pem.EncodeToMemory(&pem.Block{Type: "RSA PRIVATE KEY", Bytes: x509.MarshalPKCS1PrivateKey(priv)})
+
+	os.WriteFile(caCertFile, certPEM, 0644)
+	os.WriteFile(caKeyFile, keyPEM, 0600)
+
+	caCert, _ = x509.ParseCertificate(certBytes)
+	caKey = priv
+	return nil
+}
+
+func getCertForHost(host string) tls.Certificate {
+	certMu.Lock()
+	defer certMu.Unlock()
+
+	if cert, ok := certCache[host]; ok {
+		return cert
+	}
+
+	cleanHost := strings.Split(host, ":")[0]
+	priv, _ := rsa.GenerateKey(rand.Reader, 2048)
+	template := &x509.Certificate{
+		SerialNumber: big.NewInt(time.Now().UnixNano()),
+		Subject: pkix.Name{
+			CommonName: cleanHost,
+		},
+		DNSNames:    []string{cleanHost},
+		NotBefore:   time.Now(),
+		NotAfter:    time.Now().Add(365 * 24 * time.Hour),
+		KeyUsage:    x509.KeyUsageKeyEncipherment | x509.KeyUsageDigitalSignature,
+		ExtKeyUsage: []x509.ExtKeyUsage{x509.ExtKeyUsageServerAuth},
+	}
+
+	certBytes, _ := x509.CreateCertificate(rand.Reader, template, caCert, &priv.PublicKey, caKey)
+	certPEM := pem.EncodeToMemory(&pem.Block{Type: "CERTIFICATE", Bytes: certBytes})
+	keyPEM := pem.EncodeToMemory(&pem.Block{Type: "RSA PRIVATE KEY", Bytes: x509.MarshalPKCS1PrivateKey(priv)})
+
+	cert, _ := tls.X509KeyPair(certPEM, keyPEM)
+	certCache[host] = cert
+	return cert
+}
+
+func handleNormal(w http.ResponseWriter, r *http.Request) {
+	dest := r.URL.Host
+	if dest == "" {
+		dest = r.Host
+	}
+
+	hj, ok := w.(http.Hijacker)
+	if !ok {
+		return
+	}
+
+	clientConn, _, err := hj.Hijack()
+	if err != nil {
+		return
+	}
+	defer clientConn.Close()
+
+	clientConn.Write([]byte("HTTP/1.1 200 Connection Established\r\n\r\n"))
+
+	rawConn, err := net.Dial("tcp", dest)
+	if err != nil {
+		return
+	}
+	defer rawConn.Close()
+
+	go io.Copy(rawConn, clientConn)
+	io.Copy(clientConn, rawConn)
+}
+
+func handleTunnel(w http.ResponseWriter, r *http.Request) {
+	dest := r.URL.Host
+	if dest == "" {
+		dest = r.Host
+	}
+
+	hj, ok := w.(http.Hijacker)
+	if !ok {
+		return
+	}
+
+	clientConn, _, err := hj.Hijack()
+	if err != nil {
+		return
+	}
+	defer clientConn.Close()
+
+	clientConn.Write([]byte("HTTP/1.1 200 Connection Established\r\n\r\n"))
+
+	tlsConn := tls.Server(clientConn, &tls.Config{
+		Certificates: []tls.Certificate{getCertForHost(dest)},
+		MinVersion:   tls.VersionTLS12,
+	})
+	defer tlsConn.Close()
+
+	spoofTarget, ok := getSpoofTarget(dest)
+	if !ok {
+		spoofTarget = "www.google.com"
+		log.Printf("⚠️  No spoof target for %s, using default: %s", dest, spoofTarget)
+	} else {
+		log.Printf("🔌 %s → %s (SNI spoof)", dest, spoofTarget)
+	}
+
+	rawConn, err := net.Dial("tcp", dest)
+	if err != nil {
+		log.Printf("❌ Dial to %s failed: %v", spoofTarget, err)
+		return
+	}
+	defer rawConn.Close()
+
+	serverConn := tls.Client(rawConn, &tls.Config{
+		ServerName:         spoofTarget,
+		MinVersion:         tls.VersionTLS12,
+		InsecureSkipVerify: false, // Валидация сертификата включена.
+	})
+
+	if err := serverConn.Handshake(); err != nil {
+		log.Printf("❌ Handshake with %s failed: %v", spoofTarget, err)
+		return
+	}
+	defer serverConn.Close()
+
+	go io.Copy(serverConn, tlsConn)
+	io.Copy(tlsConn, serverConn)
+}
+
+func main() {
+	if err := loadSpoofMap(); err != nil {
+		log.Fatalf("❌ Failed to load %s: %v", spoofFile, err)
+	}
+
+	if err := loadOrCreateCA(); err != nil {
+		log.Fatalf("❌ Failed to load/create CA: %v", err)
+	}
+
+	abs, _ := os.Getwd()
+	fmt.Println(strings.Repeat("=", 60))
+	fmt.Println("✅ MitM Proxy with SNI spoofing (spoof.list)")
+	fmt.Println(strings.Repeat("=", 60))
+	fmt.Printf("Proxy: localhost%s\n", proxyPort)
+	fmt.Printf("CA cert: %s\\%s\n", abs, caCertFile)
+	fmt.Printf("Spoof map: %s\\%s\n", abs, spoofFile)
+	fmt.Println("\n⚠️  УСТАНОВИ mitm-ca.crt В ДОВЕРЕННЫЕ КОРНЕВЫЕ ЦЕНТРЫ СЕРТИФИКАЦИИ")
+	fmt.Println("   (certmgr.msc → Доверенные корневые центры сертификации → Импорт). Либо в самом браузере.")
+	fmt.Println(strings.Repeat("=", 60))
+	fmt.Println("Press Ctrl+C to stop\n")
+
+	http.ListenAndServe(proxyPort, http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
+		if r.Method == "CONNECT" {
+			dest := r.URL.Host
+			if dest == "" {
+				dest = r.Host
+			}
+
+			if _, ok := getSpoofTarget(dest); ok {
+				handleTunnel(w, r)
+			} else {
+				handleNormal(w, r)
+			}
+		}
+	}))
+}
diff --git a/spoof.list b/spoof.list
@@ -0,0 +1,7 @@
+# Format: origin_domain -> spoof_to_domain
+
+ytimg.com -> edgestatic.com
+ggpht.com -> www.google.com
+googlevideo.com -> a.gvt1.com
+c.youtube.com -> a.gvt1.com
+youtube.com -> www.google.com

Original file line number	Diff line number	Diff line change
`@@ -0,0 +1,3 @@`
	`1`	`+module YouTubeByMITM`
	`2`	`+`
	`3`	`+go 1.25`