eCapture(旁观者): captura contenido de texto SSL/TLS sin un certificado CA utilizando eBPF.

Importante

Admite versiones del kernel de Linux/Android x86_64 4.18 y superiores, aarch64 5.5 y superiores. Necesita permiso ROOT. No es compatible con los sistemas Windows y macOS.

• Introducción

• Empezando

• Módulo OpenSSL

• Módulo GoTLS

• Otros módulos

• Archivo binario ELF

• imagen acoplable

• Descargar

• Capture contenido de texto de openssl.

• Módulos

• Vídeos

• Contribuyendo

• Compilación

Introducción

• Captura de texto sin formato SSL/TLS, admite bibliotecas openssllibresslboringsslgnutlsnspr(nss).

• GoTLS admite texto plano en la biblioteca go tls, que se refiere a la comunicación cifrada en programas https/tls escritos en el lenguaje golang.

• auditoría bash, comando capture bash para auditoría de seguridad del host.

• Auditoría SQL de consultas mysql, compatible con mysqld 5.65.78.0 y mariadDB.

Empezando

Descargar

Archivo binario ELF

Consejo

Compatible con Linux/Android x86_64/aarch64.

Descargue el archivo zip ELF, descomprímalo y utilícelo con el comando sudo ecapture --help .

imagen acoplable

Consejo

Sólo Linux.

 # pull docker imagedocker pull gojue/ecapture:latest# rundocker run --rm --privileged=true --net=host -v ${HOST_PATH}:${CONTAINER_PATH} gojue/ecapture ARGS

consulte Docker Hub para obtener más información.

Capture contenido de texto de openssl.

 sudo ecapture tls
2024-09-15T11:51:31Z INF AppName="eCapture(旁观者)"2024-09-15T11:51:31Z INF Página de inicio=https://ecapture.cc
2024-09-15T11:51:31Repositorio Z INF=https://github.com/gojue/ecapture
2024-09-15T11:51:31Z INF Author="CFC4N "2024-09-15T11:51:31Z INF Descripción="Captura de texto sin formato SSL/TLS sin un certificado de CA mediante eBPF. Compatible con Linux /Kernels de Android para amd64/arm64."2024-09-15T11:51:31Z INF Version=linux_arm64:0.8.6-20240915-d87ae48:5.15.0-113-generic
2024-09-15T11:51:31Z INF Escuchar=localhost:28256
2024-09-15T11:51:31Z INF eCapture ejecutando registros logger=
2024-09-15T11:51:31Z INF el controlador de archivos que recibe el evento capturado eventCollector=
2024-09-15T11:51:31Z INF escuchar=localhost:28256
2024-09-15T11:51:31Z Se inicia el servidor https INF... Puede actualizar el archivo de configuración a través de la interfaz HTTP.
2024-09-15T11:51:31Z WRN ========== módulo iniciando. ==========
2024-09-15T11:51:31Z Información del kernel INF=5.15.152 Pid=233698
2024-09-15T11:51:31Z Modo de código de bytes INF BTF: CORE. modobtf=0
2024-09-15T11:51:31Z Se ha configurado el registrador de teclas de clave maestra INF. eBPFProgramType=Registrador de teclas de texto=
2024-09-15T11:51:31Z Inicialización del módulo INF. isReload=false moduleName=EBPFProbeOPENSSL
2024-09-15T11:51:31Z Módulo INF.Ejecutar()
2024-09-15T11:51:31Z No se encontró la versión WRN OpenSSL/BoringSSL en el archivo de biblioteca compartida, se usó la versión predeterminada OpenSSL Version=linux_default_3_0
2024-09-15T11:51:31Z Función INF Hook masterKey ElfType=2 Functions=["SSL_get_wbio","SSL_in_before","SSL_do_handshake"] binrayPath=/usr/lib/aarch64-linux-gnu/libssl.so.3
2024-09-15T11:51:31Z INF apunta a todo el proceso.
2024-09-15T11:51:31Z INF está dirigido a todos los usuarios.
2024-09-15T11:51:31Z INF setupManagers eBPFProgramType=Texto
2024-09-15T11:51:31Z El archivo de código de bytes INF BPF coincide. bpfFileName=usuario/bytecode/openssl_3_0_0_kern_core.o
2024-09-15T11:51:32Z INF perfEventReader creó el tamaño del mapa (MB) = 4
2024-09-15T11:51:32Z INF perfEventReader creó el tamaño del mapa (MB) = 4
2024-09-15T11:51:32Z El módulo INF se inició correctamente. isReload=false moduleName=EBPFProbeOPENSSL
2024-09-15T11:51:53Z??? UUID:233851_233851_curl_5_1_172.16.71.1:51837, Nombre:HTTP2Request, Tipo:2, Longitud:304

Tipo de marco => AJUSTES

Tipo de marco => WINDOW_UPDATE

Tipo de marco => ENCABEZADOS
campo de encabezado ":method" = "GET"campo de encabezado ":path" = "/"campo de encabezado ":scheme" = "https"campo de encabezado ":authority" = "google.com"campo de encabezado "user-agent" = "curl/7.81.0"campo de encabezado "accept" = "*/*"Tipo de marco => CONFIGURACIÓN

2024-09-15T11:51:53Z??? UUID:233851_233851_curl_5_0_172.16.71.1:51837, Nombre:HTTP2Response, Tipo:4, Longitud:1160

Tipo de marco => AJUSTES

Tipo de marco => WINDOW_UPDATE

Tipo de marco => AJUSTES

Tipo de marco => ENCABEZADOS
campo de encabezado ":status" = "301"campo de encabezado "ubicación" = "https://www.google.com/"campo de encabezado "content-type" = "text/html; charset=UTF-8"campo de encabezado " content-security-policy-report-only" = "object-src 'none';base-uri 'self';script-src 'nonce-qvZZ0XreBfeqRnUEV1WoYw' 'strict-dynamic' 'report-sample' 'unsafe-eval' ' unsafe-inline' https: http:;report-uri https://csp.withgoogle.com/csp/gws/other-hp"header field "date" = "domingo, 15 de septiembre de 2024 11:51:52 GMT"header campo "expires" = "Martes, 15 de octubre de 2024 11:51:52 GMT"campo de encabezado "cache-control" = "public, max-age=2592000"campo de encabezado "server" = "gws"campo de encabezado "longitud del contenido " = "220"campo de encabezado "x-xss-protection" = "0"campo de encabezado "x-frame-options" = "SAMEORIGIN"campo de encabezado "alt-svc" = "h3=":443" ma=2592000; ,h3-29=":443"; ma=2592000"Tipo de trama => PING

Tipo de trama => DATOS< BODY>
301 Movido
El documento se ha movidoaquí.

Módulos

La herramienta eCapture consta de 8 módulos que admiten respectivamente la captura de texto sin formato para bibliotecas de cifrado TLS/SSL como OpenSSL, GnuTLS, NSPR, BoringSSL y GoTLS. Además, facilita las auditorías de software para aplicaciones Bash, MySQL y PostgreSQL.

• comando bash de captura de bash

• gnutls captura contenido de texto de gnutls sin certificado CA para bibliotecas de gnutls.

• gotls Captura de comunicación en texto plano de programas Golang cifrados con TLS/HTTPS.

• mysqld captura consultas SQL desde mysqld 5.6/5.7/8.0.

• nss captura contenido de texto cifrado nss/nspr sin certificado de CA para bibliotecas nss/nspr.

• postgres captura consultas sql de postgres 10+.

• tls se utiliza para capturar contenido de texto tls/ssl sin certificado de CA. (Compatible con openssl 1.0.x/1.1.x/3.0.x o posterior). Puede usar ecapture -h para ver la lista de subcomandos.

Módulo OpenSSL

eCapture busca el archivo /etc/ld.so.conf predeterminado, para buscar directorios de carga del archivo SO y buscar la ubicación de las bibliotecas de fragmentos openssl . o puede usar el indicador --libssl para establecer la ruta de la biblioteca de fragmentos.

Si el programa de destino se compila estáticamente, puede establecer la ruta del programa como valor del indicador --libssl directamente。

El módulo OpenSSL admite tres modos de captura:

• El modo pcap / pcapng almacena los datos de texto sin formato capturados en formato pcap-NG .

• El modo keylog / key guarda las claves de protocolo de enlace TLS en un archivo.

• El modo text captura directamente datos de texto sin formato, ya sea enviándolos a un archivo específico o imprimiéndolos en la línea de comando.

Modo Pcap

Compatible con TLS cifrado http 1.0/1.1/2.0 sobre TCP y protocolo http3 QUIC sobre UDP. Puede especificar -m pcap o -m pcapng y usarlo junto con los parámetros --pcapfile y -i . El valor predeterminado para --pcapfile es ecapture_openssl.pcapng .

 sudo ecapture tls -m pcap -i eth0 --pcapfile=ecapture.pcapng puerto tcp 443

Este comando guarda los paquetes de datos de texto plano capturados como un archivo pcapng, que se puede ver usando Wireshark .

 sudo ecapture tls -m pcap -w ecap.pcapng -i ens160
2024-09-15T06:54:12Z INF AppName="eCapture(旁观者)"2024-09-15T06:54:12Z INF Página de inicio=https://ecapture.cc
2024-09-15T06:54:12Z Repositorio INF=https://github.com/gojue/ecapture
2024-09-15T06:54:12Z INF Author="CFC4N "2024-09-15T06:54:12Z INF Descripción="Captura de texto sin formato SSL/TLS sin un certificado de CA mediante eBPF. Compatible con Linux /Kernels de Android para amd64/arm64."2024-09-15T06:54:12Z INF Version=linux_arm64:0.8.6-20240915-d87ae48:5.15.0-113-generic
2024-09-15T06:54:12Z INF Escuchar=localhost:28256
2024-09-15T06:54:12Z Registro de registros en ejecución de INF eCapture =
2024-09-15T06:54:12Z INF el controlador de archivos que recibe el evento capturado eventCollector=
2024-09-15T06:54:12Z WRN ========== módulo iniciando. ==========
2024-09-15T06:54:12Z Información del kernel INF=5.15.152 Pid=230440
2024-09-15T06:54:12Z Modo de código de bytes INF BTF: CORE. modobtf=0
2024-09-15T06:54:12Z INF escuchar=localhost:28256
2024-09-15T06:54:12Z Inicialización del módulo INF. isReload=false moduleName=EBPFProbeOPENSSL
2024-09-15T06:54:12Z Módulo INF.Ejecutar()
2024-09-15T06:54:12Z Se inicia el servidor https INF... Puede actualizar el archivo de configuración a través de la interfaz HTTP.
2024-09-15T06:54:12Z No se encontró la versión WRN OpenSSL/BoringSSL en el archivo de biblioteca compartida, se usó la versión predeterminada OpenSSL Version=linux_default_3_0
2024-09-15T06:54:12Z Tipo de GANCHO INF: Openssl elf ElfType=2 IFindex=2 IFname=ens160 PcapFilter= binrayPath=/usr/lib/aarch64-linux-gnu/libssl.so.3
2024-09-15T06:54:12Z Función INF Hook masterKey Functions=["SSL_get_wbio","SSL_in_before","SSL_do_handshake"]2024-09-15T06:54:12Z INF apunta a todos los procesos.
2024-09-15T06:54:12Z INF está dirigido a todos los usuarios.
2024-09-15T06:54:12Z Administradores de configuración INF eBPFProgramType=PcapNG
2024-09-15T06:54:12Z El archivo de código de bytes INF BPF coincide. bpfFileName=usuario/bytecode/openssl_3_0_0_kern_core.o
2024-09-15T06:54:12Paquetes INF Z guardados en el archivo pcapng. pcapng ruta=/home/ecapture/ecap.pcapng
2024-09-15T06:54:12Z INF perfEventReader creó el tamaño del mapa (MB) = 4
2024-09-15T06:54:12Z INF perfEventReader creó el tamaño del mapa (MB) = 4
2024-09-15T06:54:12Z El módulo INF se inició correctamente. isReload=false moduleName=EBPFProbeOPENSSL
2024-09-15T06:54:14Paquetes INF Z guardados en el archivo pcapng. contar=4
2024-09-15T06:54:16Z Se encontró un conjunto de cifrado INF no TLSv1.3 CLientRandom=f08e8d784962d1693c042f9fe266345507ccfaba58b823904a357f30dbfa1e71 CipherId=0
2024-09-15T06:54:16Z Se encontró un conjunto de cifrado INF no TLSv1.3 CLientRandom=f08e8d784962d1693c042f9fe266345507ccfaba58b823904a357f30dbfa1e71 CipherId=0
2024-09-15T06:54:16Paquetes INF Z guardados en el archivo pcapng. recuento = 183
2024-09-15T06:54:16Z INF CLIENT_RANDOM guardado exitoso CLientRandom=f08e8d784962d1693c042f9fe266345507ccfaba58b823904a357f30dbfa1e71 TlsVersion=TLS1_2_VERSION bytes=176
2024-09-15T06:54:18Paquetes INF Z guardados en el archivo pcapng. recuento = 65
^C2024-09-15T06:54:18Z Cierre del módulo INF.
2024-09-15T06:54:18Z Paquetes INF guardados en el archivo pcapng. contar=3
2024-09-15T06:54:18Z Paquetes INF guardados en el archivo pcapng. recuento = 255
2024-09-15T06:54:18Z Módulo INF cerrado, mensaje recibido de Context
2024-09-15T06:54:18Z Cierre del módulo INF iModule
2024-09-15T06:54:18Z INF adiós.

Usó Wireshark para abrir el archivo ecap.pcapng y ver los paquetes de datos de texto sin formato.

Modo de registro de teclas

Puede especificar -m keylog o -m key y usarlo junto con el parámetro --keylogfile , que por defecto es ecapture_masterkey.log .

La información capturada de OpenSSL TLS Master Secret se guarda en --keylogfile . También puede habilitar la captura de paquetes tcpdump y luego usar Wireshark para abrir el archivo y configurar la ruta Master Secret para ver los paquetes de datos en texto sin formato.

 sudo ecapture tls -m keylog -keylogfile=openssl_keylog.log

También puede utilizar directamente el software tshark para descifrar y visualizar en tiempo real:

 tshark -o tls.keylog_file:ecapture_masterkey.log -Y http -T campos -e http.file_data -f "puerto 443" -i eth0

Modo de texto

sudo ecapture tls -m text generará todos los paquetes de datos en texto plano. (A partir de v0.7.0, ya no captura información SSLKEYLOG).

Módulo GoTLS

Similar al módulo OpenSSL.

comando gotls

capturar el contexto del texto.

Paso 1:

 sudo ecapture gotls --elfpath=/home/cfc4n/go_https_client --hex

Paso 2:

 /home/cfc4n/go_https_client

más ayuda

 sudo ecapture gotls -h

Otros módulos

como los módulos bashmysqldpostgres , puede usar ecapture -h para ver la lista de subcomandos.

Vídeos

• Vídeo de Youtube: Cómo utilizar eCapture v0.1.0

• eCapture: admite la captura de texto sin formato del tráfico TLS/HTTPS de Golang

Observadores de estrellas a lo largo del tiempo

Contribuyendo

Consulte CONTRIBUCIÓN para obtener detalles sobre cómo enviar parches y el flujo de trabajo de contribución.

Compilación

Consulte COMPILACIÓN para obtener detalles sobre cómo compilar el código fuente de eCapture.