devbox
人工智能uu
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

eCapture : 一款无需 CA 证书,直接抓取 HTTPS 网络明文通讯的神器

作者:人工智能uu | 2024-08-05 02:20:12

ecapture

公众号关注 「奇妙的 Linux 世界」

设为「星标」,每天带你玩转 Linux !

58c48a83d45d90587c6e10fdfda2166b.png

eCapture介绍

eCapture是一款基于eBPF技术实现的用户态数据捕获工具。不需要CA证书,即可捕获https/tls的通讯明文。69371937cc03daaa7e46aba752c3789b.png

项目在2022年3月中旬创建,一经发布,广受大家喜爱,至今不到两周已经1200多个Star。

463abedfd8eece5c2dd77782a2bb18c7.png

作用

  1. 不需要CA证书,即可捕获HTTPS/TLS通信数据的明文。

  2. 在bash审计场景,可以捕获bash命令

  3. 数据库审计场景,可以捕获mysqld/mariadDB的SQL查询。

官网

代码仓库见:https://github.com/ehids/ecapture

产品架构

eCapture系统用户态程序使用Golang语言开发,具有良好的系统兼容性,无依赖快速部署,更适合云原生场景。内核态代码使用C编写,使用clang/llvm编译,生产bpf字节码后,采用go-bindata转化为golang语法文件,之后采用ehids/ebpfmanager类库,调用bpf syscall进行加载、HOOK、map读取。golang编译后,无其他任何依赖即可运行,兼容linux kernel 4.18以上所有版本。

140a8f37bee56c2861c9f2a00142fc63.png

eBPF加载机制

关于eBPF详细加载机制,可到https://ebpf.io/ 查阅相关原理。

f24c318e24bc24088447dd0acd72d677.png

实现原理

如工作原理的图所示,在用户态的加密解密函数中下钩子。tcpdump(libpcap)是在数据包接收到,XDP处理后,进行clone packet,进行包的复制,发送给用户态进程。二者工作的所在层不一样。

功能介绍

eCapture有三个模块

  1. tls/ssl明文数据捕获

  2. bash命令审计

  3. mysqld数据库审计

第一个功能适用于基于tls/ssl解密需求的运维监控、故障排查、抽样分析场景。

第二个功能适用于安全领域的bash入侵发现场景,这里只是简单的功能,可以在此基础上增加其他功能。

第三个功能适用于数据库审计场景,尤其是做数据安全、数据防泄漏,甚至入侵检测等。同样,可以在此基础上扩充其他功能。

0a0c97890375fdbea245e5354c81abcd.png

查看其使用说明,如下

  1. cfc4n@vm-desktop:~/ehids/ecapture$ ./bin/ecapture
  2. NAME:
  3.  ecapture - capture text SSL content without CA cert by ebpf hook.
  4.  
  5. USAGE:
  6.  ecapture [flags]
  7.  
  8. VERSION:
  9.  0.1.5-20220325-47edbed
  10.  
  11. COMMANDS:
  12.  bash  capture bash command
  13.  help  Help about any command
  14.  mysqld56 capture sql queries from mysqld >5.6 .
  15.  tls  alias name:openssl , use to capture tls/ssl text content without CA cert.
  16.  
  17. DESCRIPTION:
  18.  ecapture是一款无需安装CA证书,即可抓去HTTPS、TLS等明文数据包的工具。
  19.  也可以捕获bash的命令,适用于安全审计场景。包括mysqld的数据库审计等。
  20.  仓库地址: https://github.com/ehids/ecapture
  21.  
  22. OPTIONS:
  23.       --debug[=false] enable debug logging
  24.   -h, --help[=false] help for ecapture
  25.       --hex[=falseprint byte strings as hex encoded strings
  26.   -p, --pid=0  if target_pid is 0 then we target all pids

其中,有四个全局参数,分别是

  • --debug , 用于启动调试日志

  • --help  , 查看帮助

  • --hex ,按照hex模式打印字符,用于查看不可见字符

  • --pid ,用于针对特定进程进行数据捕获

HOOK机制

eCapture采用eBPF uprobe相关函数进行HOOK,故需要目标用户态函数信息,包含函数符号表(symbol table),函数偏移地址(offset)。在大部分linux发行版中,使用的二进制可执行文件(ELF)都是包含符号表的;少部分发行版,会去掉ELF中的符号表。那么针对这种场景,就需要用户自行定位目标函数所在ELF/SO中的偏移地址,通过工具的参数来指定。

对于ELF文件,可以将目标类库静态编译到自身,也可以通过动态链接库的方式引用。那么对于这两种形式,eCapture根据不同场景进行自动查找。若查找不到,用户可以通过命令行参数指定。

故eCapture支持HOOK ELF,以及HOOK SO两种模式。会自动分析ELF文件,读取.dynamic.dynsym等段信息,查找相关链接库名以及函数名、偏移地址。

查找原理如下图:

58f20137da1db4919c8799e0c7a5f516.png

tls/ssl

ecapture tls命令用于启动tls/ssl模块,支持了三类tls/ssl加密类库,分别是

  • openssl ,动态链接库名字为libssl.so

  • gnutls ,动态链接库名字为libgnutls.so

  • nss/nspr ,动态链接库名字为libnspr4.so

215a231010fc96417b8487ea5fe52aea.png

在不同的linux发行版中,因为各种原因,会选择不同的类库。比如wget程序,在ubuntu跟centos中就会使用不同的类库。有的是openssl,有的是gnutls,甚至两个库都引入了。

具体情况,你可以使用ldd $ELF_PATH | grep -E "tls|ssl|nspr|nss"来查看一个ELF文件使用类库情况。

  1. cfc4n@vm-desktop:~$ ldd `which wget` |grep -E "tls|ssl|nspr|nss"
  2.  libssl.so.1.1 => /lib/x86_64-linux-gnu/libssl.so.1.1 (0x00007f50699f6000)

对于firefox、chrome这种进程,需要在程序启动后才能看到tls类库依赖情况,那么,你可以使用sudo pldd $PID | grep -E "tls|ssl|nspr|nss" 来查看

  1. cfc4n@vm-desktop:~$ ps -ef|grep firefox
  2. cfc4n       6846    1432 45 17:50 ?        00:00:04 /usr/lib/firefox/firefox -new-window
  3. cfc4n@vm-desktop:~$ sudo pldd 6846 |grep -E "tls|ssl|nspr|nss"
  4. /usr/lib/firefox/libnspr4.so
  5. /usr/lib/firefox/libnssutil3.so
  6. /usr/lib/firefox/libnss3.so
  7. /usr/lib/firefox/libssl3.so
  8. /lib/x86_64-linux-gnu/libnss_files.so.2
  9. /lib/x86_64-linux-gnu/libnss_mdns4_minimal.so.2
  10. /lib/x86_64-linux-gnu/libnss_dns.so.2
  11. /usr/lib/firefox/libnssckbi.so

eCapture的tls模块命令行参数如下,用户可以使用默认配置外,也可以根据自己环境自行指定。

  1. OPTIONS:
  2.       --curl=""  curl or wget file path, use to dectet openssl.so path, default:/usr/bin/curl
  3.       --firefox="" firefox file path, default: /usr/lib/firefox/firefox.
  4.       --gnutls="" libgnutls.so file path, will automatically find it from curl default.
  5.   -h, --help[=false] help for tls
  6.       --libssl="" libssl.so file path, will automatically find it from curl default.
  7.       --nspr=""  libnspr44.so file path, will automatically find it from curl default.
  8.       --wget=""  wget file path, default: /usr/bin/wget.

同时,使用方法也比较简单,./ecapture tls --hex命令即可。

1ffb1ec1dbfeac33f24792311c139bd9.png

在linux上,firefox程序中,有很多通讯都使用了/usr/lib/firefox/libnspr4.so,但实际上业务请求是可以通过Socket Thread进程来发送的。可以通过这个特点来过滤,对于chrome程序,相信细心的你,也能搞定。

ee8e88df32a5484baacb430dc16a0f98.png

bash

笔者在安全部门工作,接到过bash审计需求,其实现方法无非是修改系统类库、使用内核模块等技术实现,对系统稳定性有一定风险。基于eBPF技术实现,可以避开这些问题。这里的bash命令的监控,是作为eBPF技术在安全审计场景中的一个探索。

eCapture在实现时首先查找ENV的$SHELL值,作为bash的二进制文件路径进行HOOK。对于bash加载了libreadline.so的场景,也会自动分析,进行符号表查找、offset定位,再进行HOOK。

bash模块的参数有三个,用户可以自定义bashreadlineso的路径。

  1. OPTIONS:
  2.       --bash=""  $SHELL file path, eg: /bin/bash , will automatically find it from $ENV default.
  3.   -h, --help[=false] help for bash
  4.       --readlineso="" readline.so file path, will automatically find it from $BASH_PATH default.
92fb59e8cf61e41a13f9dbc970305740.png

mysql/mariadb

与bash模块一样,也是作为数据库审计的一个探索。笔者环境为ubuntu 12.04,mysqld也因为协议关系,使用了衍生的MariadDB,用户也可以根据自己实际场景,使用命令行参数进行指定。

mysqld模块,核心原理是HOOK了dispatch_command函数,

  • 第一个参数为CMD类型,值为COM_QUERY时,为查询场景,即审计需求的查询类型。

  • 第二个参数是THD的结构体,在这里我们用不到。

  • 第三个是查询的SQL语句

  • 第四个参数是SQL语句的长度,

  1. // https://github.com/MariaDB/server/blob/b5852ffbeebc3000982988383daeefb0549e058a/sql/sql_parse.h#L112
  2. dispatch_command_return dispatch_command(enum enum_server_command command, THD *thd,
  3.    char* packet, uint packet_length, bool blocking = true);

mysqld审计模块参数如下:

  1. OPTIONS:
  2.   -f, --funcname=""   function name to hook
  3.   -h, --help[=false]   help for mysqld56
  4.   -m, --mysqld="/usr/sbin/mariadbd" mysqld binary file path, use to hook
  5.       --offset=0   0x710410

其中,--mysqld是用来指定mysqld的路径。mysqld二进制程序符号表里虽然有dispatch_command信息,但dispatch_command这个函数名每次编译都是变化的,故不能写死。

eCapture的查找方式是读取mysqld二进制的.dynamic段信息,正则语法\w+dispatch_command\w+去匹配所有符号信息,找到其函数名、偏移地址,再使用。

你也可以通过objdump命令来查找,再通过命令行参数自行指定funcname。

mariadbd version : 10.5.13-MariaDB-0ubuntu0.21.04.1 objdump -T /usr/sbin/mariadbd |grep dispatch_command 0000000000710410 g    DF .text 0000000000002f35  Base        _Z16dispatch_command19enum_server_commandP3THDPcjbb

即offset为0x710410,函数名为_Z16dispatch_command19enum_server_commandP3THDPcjbb

bbc63257fe5db750f3920c071fe07b12.png

使用

下载二进制包

eCapture发布在https://github.com/ehids/ecapture/releases ,目前最新版为eCapture v0.1.5

可在linux kernel 4.18以上版本运行。

二进制包地址:

https://github.com/ehids/ecapture/releases/download/v0.1.5/ecapture_v0.1.5.zip

国内加速地址:https://github.do/https://github.com/ehids/ecapture/releases/download/v0.1.5/ecapture_v0.1.5.zip

自行编译

代码仓库在https://github.com/ehids/ecapture ,你可以自行修改源码编译。

视频演示

本文转载自:「榫卯江湖」,原文:https://tinyurl.com/2pksvehv,版权归原作者所有。欢迎投稿,投稿邮箱: editor@hi-linux.com。

c72482280d68a400d3aa2625260859a6.gif

最近,我们建立了一个技术交流微信群。目前群里已加入了不少行业内的大神,有兴趣的同学可以加入和我们一起交流技术,在 「奇妙的 Linux 世界」 公众号直接回复 「加群」 邀请你入群。

ea39dfead8fa6a3a5b244251f8d1e2b2.png

你可能还喜欢

点击下方图片即可阅读

a90d853dab4e9ba009541e5ef6484584.png

Tailscale 开源版中文部署指南(支持无限设备数、自定义多网段 、自建中继等高级特性)

e32f423f61dc6c696d3637211846d0fe.png
点击上方图片,『美团|饿了么』外卖红包天天免费领

8ebd05ec92790fb33734c0902915a8ac.png

更多有趣的互联网新鲜事,关注「奇妙的互联网」视频号全了解!

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/人工智能uu/article/detail/930403
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号