aardio教程_go语言开发的eCapture可以不需要CA证书也能抓取https网络通讯的明文内容?
Admin
发布:2022-03-29 06:00:00 分类:杂谈
go语言开发的eCapture可以不需要CA证书也能抓取https网络通讯的明文内容?
简码编程aardio教程观察中.
eCapture介绍
eCapture是一款基于eBPF技术实现的用户态数据捕获工具。不需要CA证书,即可捕获https/tls的通讯明文。
项目在2022年3月中旬创建,一经发布,广受大家喜爱,至今不到两周已经1200多个Star。
作用
不需要CA证书,即可捕获HTTPS/TLS通信数据的明文。
在bash审计场景,可以捕获bash命令。
数据库审计场景,可以捕获mysqld/mariadDB的SQL查询。
产品架构
eCapture系统用户态程序使用Golang语言开发,具有良好的系统兼容性,无依赖快速部署,更适合云原生场景。 内核态代码使用C编写,使用clang/llvm编译,生产bpf字节码后,采用go-bindata转化为golang语法文件,之后采用ehids/ebpfmanager类库,调用bpf syscall进行加载、HOOK、map读取。 golang编译后,无其他任何依赖即可运行,兼容linux kernel 4.18以上所有版本。
eBPF加载机制
关于eBPF详细加载机制,可到https://ebpf.io/ 查阅相关原理。
实现原理
如工作原理的图所示,在用户态的加密解密函数中下钩子。 tcpdump(libpcap)是在数据包接收到,XDP处理后,进行clone packet,进行包的复制,发送给用户态进程。二者工作的所在层不一样。
功能介绍
eCapture有三个模块
tls/ssl明文数据捕获
bash命令审计
mysqld数据库审计
第一个功能适用于基于tls/ssl解密需求的运维监控、故障排查、抽样分析场景。
第二个功能适用于安全领域的bash入侵发现场景,这里只是简单的功能,可以在此基础上增加其他功能。
第三个功能适用于数据库审计场景,尤其是做数据安全、数据防泄漏,甚至入侵检测等。同样,可以在此基础上扩充其他功能。
其中,有四个全局参数,分别是
--debug , 用于启动调试日志
--help , 查看帮助
--hex ,按照hex模式打印字符,用于查看不可见字符
--pid ,用于针对特定进程进行数据捕获
HOOK机制
eCapture采用eBPF uprobe相关函数进行HOOK,故需要目标用户态函数信息,包含函数符号表(symbol table),函数偏移地址(offset)。 在大部分linux发行版中,使用的二进制可执行文件(ELF)都是包含符号表的;少部分发行版,会去掉ELF中的符号表。那么针对这种场景,就需要用户自行定位目标函数所在ELF/SO中的偏移地址,通过工具的参数来指定。
对于ELF文件,可以将目标类库静态编译到自身,也可以通过动态链接库的方式引用。那么对于这两种形式,eCapture根据不同场景进行自动查找。若查找不到,用户可以通过命令行参数指定。
故eCapture支持HOOK ELF,以及HOOK SO两种模式。会自动分析ELF文件,读取.dynamic和.dynsym等段信息,查找相关链接库名以及函数名、偏移地址。
tls/ssl
ecapture tls命令用于启动tls/ssl模块,支持了三类tls/ssl加密类库,分别是
openssl ,动态链接库名字为libssl.so
gnutls ,动态链接库名字为libgnutls.so
nss/nspr ,动态链接库名字为libnspr4.so
在不同的linux发行版中,因为各种原因,会选择不同的类库。比如wget程序,在ubuntu跟centos中就会使用不同的类库。有的是openssl,有的是gnutls,甚至两个库都引入了。
具体情况,你可以使用ldd $ELF_PATH | grep -E "tls|ssl|nspr|nss"来查看一个ELF文件使用类库情况。
cfc4n@vm-desktop:~$ ldd `which wget` |grep -E "tls|ssl|nspr|nss"
libssl.so.1.1 => /lib/x86_64-linux-gnu/libssl.so.1.1 (0x00007f50699f6000)
对于firefox、chrome这种进程,需要在程序启动后才能看到tls类库依赖情况,那么,你可以使用sudo pldd $PID | grep -E "tls|ssl|nspr|nss" 来查看
cfc4n@vm-desktop:~$ ps -ef|grep firefox
cfc4n 6846 1432 45 17:50 ? 00:00:04 /usr/lib/firefox/firefox -new-window
cfc4n@vm-desktop:~$ sudo pldd 6846 |grep -E "tls|ssl|nspr|nss"
/usr/lib/firefox/libnspr4.so
/usr/lib/firefox/libnssutil3.so
/usr/lib/firefox/libnss3.so
/usr/lib/firefox/libssl3.so
/lib/x86_64-linux-gnu/libnss_files.so.2
/lib/x86_64-linux-gnu/libnss_mdns4_minimal.so.2
/lib/x86_64-linux-gnu/libnss_dns.so.2
/usr/lib/firefox/libnssckbi.so
eCapture的tls模块命令行参数如下,用户可以使用默认配置外,也可以根据自己环境自行指定。
OPTIONS:
--curl="" curl or wget file path, use to dectet openssl.so path, default:/usr/bin/curl
--firefox="" firefox file path, default: /usr/lib/firefox/firefox.
--gnutls="" libgnutls.so file path, will automatically find it from curl default.
-h, --help[=false] help for tls
--libssl="" libssl.so file path, will automatically find it from curl default.
--nspr="" libnspr44.so file path, will automatically find it from curl default.
--wget="" wget file path, default: /usr/bin/wget.
同时,使用方法也比较简单,./ecapture tls --hex命令即可。
图片
在linux上,firefox程序中,有很多通讯都使用了/usr/lib/firefox/libnspr4.so,但实际上业务请求是可以通过Socket Thread进程来发送的。可以通过这个特点来过滤,对于chrome程序,相信细心的你,也能搞定。
图片
bash
笔者在安全部门工作,接到过bash审计需求,其实现方法无非是修改系统类库、使用内核模块等技术实现,对系统稳定性有一定风险。基于eBPF技术实现,可以避开这些问题。这里的bash命令的监控,是作为eBPF技术在安全审计场景中的一个探索。
eCapture在实现时首先查找ENV的$SHELL值,作为bash的二进制文件路径进行HOOK。对于bash加载了libreadline.so的场景,也会自动分析,进行符号表查找、offset定位,再进行HOOK。
bash模块的参数有三个,用户可以自定义bash、readlineso的路径。
OPTIONS:
--bash="" $SHELL file path, eg: /bin/bash , will automatically find it from $ENV default.
-h, --help[=false] help for bash
--readlineso="" readline.so file path, will automatically find it from $BASH_PATH default.
图片
mysql/mariadb
与bash模块一样,也是作为数据库审计的一个探索。笔者环境为ubuntu 12.04,mysqld也因为协议关系,使用了衍生的MariadDB,用户也可以根据自己实际场景,使用命令行参数进行指定。
mysqld模块,核心原理是HOOK了dispatch_command函数,
第一个参数为CMD类型,值为COM_QUERY时,为查询场景,即审计需求的查询类型。
第二个参数是THD的结构体,在这里我们用不到。
第三个是查询的SQL语句
第四个参数是SQL语句的长度,
// https://github.com/MariaDB/server/blob/b5852ffbeebc3000982988383daeefb0549e058a/sql/sql_parse.h#L112
dispatch_command_return dispatch_command(enum enum_server_command command, THD *thd,
char* packet, uint packet_length, bool blocking = true);
mysqld审计模块参数如下:
OPTIONS:
-f, --funcname="" function name to hook
-h, --help[=false] help for mysqld56
-m, --mysqld="/usr/sbin/mariadbd" mysqld binary file path, use to hook
--offset=0 0x710410
其中,--mysqld是用来指定mysqld的路径。 mysqld二进制程序符号表里虽然有dispatch_command信息,但dispatch_command这个函数名每次编译都是变化的,故不能写死。
eCapture的查找方式是读取mysqld二进制的.dynamic段信息,正则语法\w+dispatch_command\w+去匹配所有符号信息,找到其函数名、偏移地址,再使用。
你也可以通过objdump命令来查找,再通过命令行参数自行指定funcname。
mariadbd version : 10.5.13-MariaDB-0ubuntu0.21.04.1 objdump -T /usr/sbin/mariadbd |grep dispatch_command 0000000000710410 g DF .text 0000000000002f35 Base _Z16dispatch_command19enum_server_commandP3THDPcjbb
即offset为0x710410,函数名为_Z16dispatch_command19enum_server_commandP3THDPcjbb。
- [ 发单/接单 ]
- ● 换IP投票软件
- ● PC蛋蛋自动挂机投注
- ● 新浪微博发微博显示尾巴的方法,比如显示来自iphone 7
- ● 百度文库批量自动上传软件
- ● 一点资讯app刷阅读量/评论/收藏/订阅功能/手机号注册
- ● 定做一个阿迪达斯官网注册器(需要破点击文字式验证码)
- ● 定制人人网自动注册/修改资料/采集/私聊软件
- ● 酷狗繁星直播网页协yi
- ● YY多功能刷订阅刷粉丝
- ● 滑块验证码本地识别
- ● 狼人杀POST QQ登录注册 获取金币数量
- ● 做个贴吧发发帖的软件懂的来
- ● 今日头条账号保存cookie
- ● 抖音粉丝软件定做,只要粉丝
- ● 百家号自媒体发文软件定制
- ● 哔哩哔哩播放量
- ● 读取TB某个商品上架时间和相关信息
- ● 网易博客软件定制
- ● 定制天涯论坛发帖软件
- ● 定制今日头条批量自动发私信软件
- [ 站内搜索 ]
- [ 最近热帖 ]
- 万能助手 -- 扩展库大全集 13757
- 用aardio创建web工程图文讲解(1) 12848
- 电脑编程入门自学:Fiddler https 抓包时提示创建根证书不成功问题彻底解决(https插件dll方式) 11748
- aardio绘图演示 11416
- 通过chrome.dll中间件控制外部chrome浏览器 10132
- 我常用的aardio技巧 9781
- 《边学C语言边赚钱——简码编程入门教程》系列集合 9620
- aardio使用http或whttp进行get/post请求时经常cookies失效怎么办?__电脑计算机编程入门教程自学 9324
- [源码下载]简码视频加密解密播放工具个人版v1.0发布,永久免费开源的知识变现神器 8559
- python人工智能爬虫系列:怎么查看python版本_电脑计算机编程入门教程自学 8052
- 编程入门教程:aardio批量上传文件并显示进度条 7889
- aardio调用nodejs的ws模块做一个简单的聊天通信示例 7042
- 电脑计算机编程入门教程自学:原生JavaScript判断字符是否为A-Za-z英文字母 6911
- 电脑计算机编程入门教程自学:腾讯tx或极验geetest滑块按住拖动完成拼图验证成功破解思路及源码 6506
- 乐玩插件AARDIO调用 6092
- [ 近期热答 ]
- 电脑计算机编程入门教程自学:什么是buffer缓冲区? 1
- aardio_代码编辑框书签管理器开源 1
- aardio_怎么用ide库从代码编辑框中取出指定行的源码? 1
- aardio_codepage代码页编码乱码暴力猜解工具 1
- aardio内嵌echarts图表添加鼠标事件响应功能 2
- aardio列表框listbox_模糊查找和精确查找 1
- 8亿QQ绑定手机泄露:通过腾讯QQ号查询QQ绑定的手机号码漏洞! 1
- carl listviewex调用例子----------源码搬运工 2
- Aardio内嵌Electron浏览框怎么正确添加启动参数? 1
- Aardio取汉字的字节数或字符数 1
- 怎么实现mssql图片数据的读写 2
- aardio_从49个数字里选六个和值为150的不重复的数字 1
- 在嵌入wps的时候,多了一个 透明的边框,这个怎么消除它 1
- 万能助手入门帮助教程:学会科学地管理工作文件 1
- Aaardio开发内嵌Electron浏览框放服务器上无法下载组件的解决办法 1
