eCapture(旁观者): захват текстового содержимого SSL/TLS без сертификата CA с использованием eBPF.

Важный

Поддерживает версии ядра Linux/Android x86_64 4.18 и выше, aarch64 5.5 и выше. Требуется ROOT-разрешение. Не поддерживает системы Windows и macOS.

• Введение

• Начиная

• Модуль OpenSSL

• Модуль GoTLS

• Другие модули

• Бинарный файл ELF

• Докер-образ

• Скачать

• Захват текстового содержимого openssl.

• Модули

• Видео

• Содействие

• Сборник

Введение

• Захват открытого текста SSL/TLS, поддержка библиотек openssllibresslboringsslgnutlsnspr(nss).

• Поддержка открытого текста GoTLS — библиотека go tls, которая относится к зашифрованной связи в программах https/tls, написанных на языке golang.

• bash Audit, команда захвата bash для аудита безопасности хоста.

• MySQL-запрос SQL-аудита, поддержка mysqld 5.65.78.0 и mariadDB.

Начиная

Скачать

Бинарный файл ELF

Кончик

поддержка Linux/Android x86_64/aarch64.

Загрузите zip-файл ELF, разархивируйте и используйте команду sudo ecapture --help .

Докер-образ

Кончик

Только Линукс.

 # pull docker imagedocker pull gojue/ecapture:latest# rundocker run --rm --privileged=true --net=host -v ${HOST_PATH}:${CONTAINER_PATH} gojue/ecapture ARGS

дополнительную информацию см. в Docker Hub.

Захват текстового содержимого openssl.

 sudo ecapture tls
2024-09-15T11:51:31Z INF AppName="eCapture(旁观者)"2024-09-15T11:51:31Z INF HomePage=https://ecapture.cc
2024-09-15T11:51:31Z INF-репозиторий=https://github.com/gojue/ecapture
2024-09-15T11:51:31Z INF Author="CFC4N "2024-09-15T11:51:31Z INF Description="Захват открытого текста SSL/TLS без сертификата CA с использованием eBPF. Поддерживается в Linux /Ядра Android для amd64/arm64."2024-09-15T11:51:31Z INF Version=linux_arm64:0.8.6-20240915-d87ae48:5.15.0-113-generic
2024-09-15T11:51:31Z INF Listen=localhost:28256
2024-09-15T11:51:31Z INF eCapture запускает журналы регистрации =
2024-09-15T11:51:31Z INF обработчик файла, который получает захваченное событие eventCollector=
2024-09-15T11:51:31Z INF прослушивание = локальный хост: 28256
2024-09-15T11:51:31Z INF https-сервер запускается... Вы можете обновить файл конфигурации через интерфейс HTTP.
2024-09-15T11:51:31Z WRN ========== модуль запускается. ==========
2024-09-15T11:51:31Z Информация о ядре INF=5.15.152 Pid=233698
2024-09-15T11:51:31Z Режим байт-кода INF BTF: CORE. btfMode=0
2024-09-15T11:51:31Z Установлен кейлоггер INF с главным ключом. eBPFProgramType=Текстовый кейлоггер=
2024-09-15T11:51:31Z Инициализация модуля INF. isReload=false имя_модуля=EBPFProbeOPENSSL
2024-09-15T11:51:31Z Модуль INF.Выполнить()
2024-09-15T11:51:31Z WRN Версия OpenSSL/BoringSSL не найдена в файле общей библиотеки, используется версия по умолчанию OpenSSL Version=linux_default_3_0
2024-09-15T11:51:31Z Функция INF Hook masterKey ElfType=2 Functions=["SSL_get_wbio","SSL_in_before","SSL_do_handshake"] binrayPath=/usr/lib/aarch64-linux-gnu/libssl.so.3
2024-09-15T11:51:31Z INF нацелен на все процессы.
2024-09-15T11:51:31Z INF предназначен для всех пользователей.
2024-09-15T11:51:31Z INF setupManagers eBPFProgramType=Text
2024-09-15T11:51:31Z Файл байт-кода INF BPF соответствует. bpfFileName=пользователь/байт-код/openssl_3_0_0_kern_core.o
2024-09-15T11:51:32Z INF perfEventReader создал MapSize(MB)=4
2024-09-15T11:51:32Z INF perfEventReader создал MapSize(MB)=4
2024-09-15T11:51:32Z Модуль INF успешно запущен. isReload=false имя_модуля=EBPFProbeOPENSSL
2024-09-15T11:51:53З ??? UUID: 233851_233851_curl_5_1_172.16.71.1: 51837, имя: HTTP2Request, тип: 2, длина: 304

Тип кадра => НАСТРОЙКИ

Тип кадра => WINDOW_UPDATE

Тип кадра => ЗАГОЛОВКИ
поле заголовка ":method" = "GET"поле заголовка ":path" = "/"поле заголовка ":scheme" = "https"поле заголовка ":authority" = "google.com"поле заголовка "user-agent" = Поле заголовка "curl/7.81.0" "accept" = "*/*" Тип кадра => НАСТРОЙКИ

2024-09-15T11:51:53З ??? UUID: 233851_233851_curl_5_0_172.16.71.1:51837, Имя: HTTP2Response, Тип: 4, Длина: 1160

Тип кадра => НАСТРОЙКИ

Тип кадра => WINDOW_UPDATE

Тип кадра => НАСТРОЙКИ

Тип кадра => ЗАГОЛОВКИ
поле заголовка ":status" = "301"поле заголовка "location" = "https://www.google.com/"поле заголовка "content-type" = "text/html; charset=UTF-8"поле заголовка " content-security-policy-report-only" = "object-src 'none';base-uri 'self';script-src 'nonce-qvZZ0XreBfeqRnUEV1WoYw' 'strict-dynamic' 'report-sample' 'unsafe-eval' ' unsafe-inline' https: http:;report-uri https://csp.withgoogle.com/csp/gws/other-hp"header field "date" = "Sun, 15 сентября 2024 г., 11:51:52 GMT"header поле "expires" = "Вт, 15 октября 2024 г., 11:51:52 GMT"поле заголовка "cache-control" = "public, max-age=2592000"поле заголовка "server" = "gws"поле заголовка "content-length" " = "220"поле заголовка "x-xss-protection" = "0"поле заголовка "x-frame-options" = "SAMEORIGIN"поле заголовка "alt-svc" = "h3=":443"; ma=2592000; ,h3-29=":443"; ma=2592000"Тип кадра => PING

Тип кадра => DATA< BODY>
301 Перемещен
Документ перемещенсюда.

Модули

Инструмент eCapture состоит из 8 модулей, которые соответственно поддерживают захват открытого текста для библиотек шифрования TLS/SSL, таких как OpenSSL, GnuTLS, NSPR, BoringSSL и GoTLS. Кроме того, он облегчает аудит программного обеспечения для приложений Bash, MySQL и PostgreSQL.

• команда bash захвата bash

• gnutls захватывает текстовое содержимое gnutls без сертификата CA для библиотек gnutls.

• gotls Перехват открытого текстового сообщения из программ Golang, зашифрованного с помощью TLS/HTTPS.

• mysqld захватывает SQL-запросы из mysqld 5.6/5.7/8.0.

• nss захватывает зашифрованное текстовое содержимое nss/nspr без сертификата CA для библиотек nss/nspr.

• Postgres захватывает SQL-запросы из Postgres 10+.

• tls используется для захвата текстового содержимого tls/ssl без сертификата CA. (Поддержка openssl 1.0.x/1.1.x/3.0.x или новее). Вы можете использовать ecapture -h для просмотра списка подкоманд.

Модуль OpenSSL

eCapture выполняет поиск по умолчанию в файле /etc/ld.so.conf для поиска каталогов загрузки файла SO и поиска местоположения библиотек сегментов openssl . или вы можете использовать флаг --libssl , чтобы установить путь к библиотеке сегментов.

Если целевая программа компилируется статически, вы можете напрямую установить путь к программе как значение флага --libssl 。

Модуль OpenSSL поддерживает три режима захвата:

• Режим pcap / pcapng сохраняет захваченные данные в виде открытого текста в формате pcap-NG .

• keylog / key mode сохраняет ключи подтверждения TLS в файл.

• text режим напрямую захватывает данные в виде открытого текста, либо выводя их в указанный файл, либо печатая в командной строке.

Режим ПКАП

Поддерживается шифрование TLS http 1.0/1.1/2.0 через TCP и протокол http3 QUIC через UDP. Вы можете указать -m pcap или -m pcapng и использовать их вместе с параметрами --pcapfile и -i . Значением по умолчанию для --pcapfile является ecapture_openssl.pcapng .

 sudo ecapture tls -m pcap -i eth0 --pcapfile=ecapture.pcapng TCP-порт 443

Эта команда сохраняет захваченные пакеты данных в виде открытого текста в виде файла pcapng, который можно просмотреть с помощью Wireshark .

 sudo ecapture tls -m pcap -w ecap.pcapng -i ens160
2024-09-15T06:54:12Z INF AppName="eCapture(旁观者)"2024-09-15T06:54:12Z INF HomePage=https://ecapture.cc
2024-09-15T06:54:12Z INF-репозиторий=https://github.com/gojue/ecapture
2024-09-15T06:54:12Z INF Author="CFC4N "2024-09-15T06:54:12Z INF Description="Захват открытого текста SSL/TLS без сертификата CA с использованием eBPF. Поддерживается в Linux /Ядра Android для amd64/arm64."2024-09-15T06:54:12Z INF Version=linux_arm64:0.8.6-20240915-d87ae48:5.15.0-113-generic
2024-09-15T06:54:12Z INF Listen=localhost:28256
2024-09-15T06:54:12Z INF eCapture запускает журналы регистрации =
2024-09-15T06:54:12Z INF обработчик файла, который получает захваченное событие eventCollector=
2024-09-15T06:54:12Z WRN ========== модуль запускается. ==========
2024-09-15T06:54:12Z Информация о ядре INF = 5.15.152 Pid = 230440
2024-09-15T06:54:12Z Режим байт-кода INF BTF: CORE. btfMode=0
2024-09-15T06:54:12Z INF прослушивание = локальный хост: 28256
2024-09-15T06:54:12Z Инициализация модуля INF. isReload=false имя_модуля=EBPFProbeOPENSSL
2024-09-15T06:54:12Z Модуль INF.Выполнить()
2024-09-15T06:54:12Z INF https-сервер запускается... Вы можете обновить файл конфигурации через интерфейс HTTP.
2024-09-15T06:54:12Z WRN Версия OpenSSL/BoringSSL не найдена в файле общей библиотеки, используется версия по умолчанию OpenSSL Version=linux_default_3_0
2024-09-15T06:54:12Z Тип INF HOOK: Openssl elf ElfType=2 IFindex=2 IFname=ens160 PcapFilter= binrayPath=/usr/lib/aarch64-linux-gnu/libssl.so.3
2024-09-15T06:54:12Z Функция INF Hook masterKey Functions=["SSL_get_wbio","SSL_in_before","SSL_do_handshake"]2024-09-15T06:54:12Z INF нацелен на все процессы.
2024-09-15T06:54:12Z INF предназначен для всех пользователей.
2024-09-15T06:54:12Z INF setupManagers eBPFProgramType=PcapNG
2024-09-15T06:54:12Z Файл байт-кода INF BPF соответствует. bpfFileName=пользователь/байт-код/openssl_3_0_0_kern_core.o
2024-09-15T06:54:12Z INF-пакеты сохраняются в файле pcapng. путь pcapng=/home/ecapture/ecap.pcapng
2024-09-15T06:54:12Z INF perfEventReader создал MapSize(MB)=4
2024-09-15T06:54:12Z INF perfEventReader создал MapSize(MB)=4
2024-09-15T06:54:12Z Модуль INF успешно запущен. isReload=false имя_модуля=EBPFProbeOPENSSL
2024-09-15T06:54:14Z INF-пакеты сохраняются в файле pcapng. количество = 4
2024-09-15T06:54:16Z Обнаружен набор шифров INF, не относящийся к TLSv1.3
2024-09-15T06:54:16Z Обнаружен набор шифров INF, не относящийся к TLSv1.3
2024-09-15T06:54:16Z INF-пакеты сохраняются в файле pcapng. количество = 183
2024-09-15T06:54:16Z INF CLIENT_RANDOM сохранить успех CLientRandom=f08e8d784962d1693c042f9fe266345507ccfaba58b823904a357f30dbfa1e71 TlsVersion=TLS1_2_VERSION bytes=176
2024-09-15T06:54:18Z INF-пакеты сохраняются в файле pcapng. количество = 65
^C2024-09-15T06:54:18Z Модуль INF закрыт.
2024-09-15T06:54:18Z INF-пакеты сохраняются в файле pcapng. количество = 3
2024-09-15T06:54:18Z INF-пакеты сохраняются в файле pcapng. количество = 255
2024-09-15T06:54:18Z Модуль INF закрыт, сообщение получено из контекста
2024-09-15T06:54:18Z Модуль INF iModule закрыт
2024-09-15T06:54:18Z ИНФ, пока, пока.

Использовал Wireshark , чтобы открыть файл ecap.pcapng для просмотра пакетов данных в виде открытого текста.

Режим кейлога

Вы можете указать -m keylog или -m key и использовать его вместе с параметром --keylogfile , который по умолчанию имеет значение ecapture_masterkey.log .

Захваченная информация Master Secret OpenSSL TLS сохраняется в --keylogfile . Вы также можете включить захват пакетов tcpdump , а затем использовать Wireshark , чтобы открыть файл и установить Master Secret путь для просмотра пакетов данных в виде открытого текста.

 sudo ecapture tls -m keylog -keylogfile=openssl_keylog.log

Вы также можете напрямую использовать программное обеспечение tshark для расшифровки и отображения в реальном времени:

 tshark -o tls.keylog_file:ecapture_masterkey.log -Y http -T поля -e http.file_data -f "порт 443" -i eth0

Текстовый режим

sudo ecapture tls -m text выведет все пакеты данных в виде открытого текста. (Начиная с версии 0.7.0 он больше не собирает информацию SSLKEYLOG.)

Модуль GoTLS

Аналогично модулю OpenSSL.

команда готлов

захватывать текстовый контекст tls.

Шаг 1:

 sudo ecapture gotls --elfpath=/home/cfc4n/go_https_client --hex

Шаг 2:

 /home/cfc4n/go_https_client

дополнительная помощь

 sudo ecapture gotls -h

Другие модули

например модули bashmysqldpostgres , вы можете использовать ecapture -h для просмотра списка подкоманд.

Видео

• Видео на YouTube: Как использовать eCapture v0.1.0

• eCapture: поддерживает захват открытого текста трафика Golang TLS/HTTPS.

Звездочеты с течением времени

Содействие

Подробную информацию об отправке исправлений и рабочем процессе внесения вклада см. в разделе «ВКЛАД».

Сборник

См. КОМПИЛЯЦИЯ для получения подробной информации о компиляции исходного кода eCapture.