中文介绍 | English | 日本語

eCapture(旁观者): 使用eBPF无需CA证书捕获SSL/TLS文本内容。

注意

支持Linux/Android内核版本x86_64 4.18及以上，aarch64 5.5及以上。 不支持Windows和macOS系统。

• eCapture工作原理
• eCapture用户手册
• 入门指南
• eCapture架构
• 什么是eBPF
• 如何编译
• 贡献

eCapture工作原理

• SSL/TLS明文捕获，支持openssl、libressl、boringssl、gnutls、nspr(nss)库。
• GoTLS明文支持go tls库，指的是用golang语言编写的https/tls程序中的加密通信。
• bash审计，捕获bash命令用于主机安全审计。
• mysql查询SQL审计，支持mysqld 5.6、5.7、8.0和mariadDB。

eCapture用户手册

Youtube视频: 如何使用eCapture v0.1.0

入门指南

使用ELF二进制文件

从发布页面下载ELF压缩文件，解压并通过命令./ecapture --help使用。

• 需要Linux内核版本 >= 4.18。
• 启用BTF BPF类型格式 (BTF)（可选，2022-04-17）

使用docker镜像

# 拉取docker镜像
docker pull gojue/ecapture:latest
# 运行
docker run --rm --privileged=true --net=host -v ${HOST_PATH}:${CONTAINER_PATH} gojue/ecapture ARGS

命令行选项

注意

需要ROOT权限。

eCapture默认搜索/etc/ld.so.conf文件，以搜索SO文件的加载目录，并搜索openssl共享库位置。或者你可以使用--libssl标志来设置共享库路径。

如果目标程序是静态编译的，你可以直接将程序路径设置为--libssl标志的值。

模块

eCapture工具包含8个模块，分别支持OpenSSL、GnuTLS、NSPR、BoringSSL和GoTLS等TLS/SSL加密库的明文捕获。此外，它还支持Bash、MySQL和PostgreSQL应用程序的软件审计。

• bash 捕获bash命令
• gnutls 无需CA证书捕获gnutls库的gnutls文本内容。
• gotls 捕获使用TLS/HTTPS加密的Golang程序的明文通信。
• mysqld 从mysqld 5.6/5.7/8.0捕获SQL查询。
• nss 无需CA证书捕获nss/nspr库的nss/nspr加密文本内容。
• postgres 从postgres 10+捕获SQL查询。
• tls 用于无需CA证书捕获tls/ssl文本内容。（支持openssl 1.0.x/1.1.x/3.0.x或更新版本）。 你可以使用ecapture -h查看子命令列表。

OpenSSL模块

OpenSSL模块支持三种捕获模式：

• pcap/pcapng模式将捕获的明文数据存储为pcap-NG格式。
• keylog/key模式将TLS握手密钥保存到文件中。
• text模式直接捕获明文数据，可以输出到指定文件或打印到命令行。

Pcap模式

你可以指定-m pcap或-m pcapng，并结合--pcapfile和-i参数使用。--pcapfile的默认值是ecapture_openssl.pcapng。

./ecapture tls -m pcap -i eth0 --pcapfile=ecapture.pcapng tcp port 443

此命令将捕获的明文数据包保存为pcapng文件，可以使用Wireshark查看。

Keylog模式

你可以指定 -m keylog 或 -m key，并与 --keylogfile 参数一起使用，默认值为 ecapture_masterkey.log。

捕获的 OpenSSL TLS Master Secret 信息会保存到 --keylogfile。你还可以启用 tcpdump 数据包捕获，然后使用 Wireshark 打开文件并设置 Master Secret 路径来查看明文数据包。

./ecapture tls -m keylog -keylogfile=openssl_keylog.log

你也可以直接使用 tshark 软件进行实时解密和显示：

tshark -o tls.keylog_file:ecapture_masterkey.log -Y http -T fields -e http.file_data -f "port 443" -i eth0

文本模式

./ecapture tls -m text 将输出所有明文数据包。（从 v0.7.0 版本开始，不再捕获 SSLKEYLOG 信息。）

GoTLS 模块

类似于 OpenSSL 模块。

检查你的服务器 BTF 配置：

cfc4n@vm-server:~$# uname -r
4.18.0-305.3.1.el8.x86_64
cfc4n@vm-server:~$# cat /boot/config-`uname -r` | grep CONFIG_DEBUG_INFO_BTF
CONFIG_DEBUG_INFO_BTF=y

gotls 命令

捕获 TLS 文本内容。

步骤 1：

./ecapture gotls --elfpath=/home/cfc4n/go_https_client --hex

步骤 2：

/home/cfc4n/go_https_client

更多帮助

./ecapture gotls -h

bash 模块

捕获 bash 命令：ecapture bash

ps -ef | grep foo

eCapture 架构

什么是 eBPF

eBPF

如何编译

Linux 内核：>= 4.18。

工具

• golang 1.21 或更新版本
• clang 9.0 或更新版本
• cmake 3.18.4 或更新版本
• clang 后端：llvm 9.0 或更新版本
• 内核配置：CONFIG_DEBUG_INFO_BTF=y（可选，2022-04-17）

命令

ubuntu

如果你使用的是 Ubuntu 20.04 或更高版本，你可以使用单个命令完成编译环境的初始化。

/bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/gojue/ecapture/master/builder/init_env.sh)"

其他 Linux

除了上面"工具链版本"部分列出的软件外，编译环境还需要以下软件。请自行安装。

• linux-tools-common
• linux-tools-generic
• pkgconf
• libelf-dev

克隆仓库代码并编译

注意：如果 /usr/local/lib 下不存在 libpcap.a，以下 make 命令将会在系统目录中安装 libpcap。如果你已经在系统中安装了 libpcap 但没有 libpcap.a，可能会破坏你的 libpcap 头文件。

git clone --recurse-submodules git@github.com:gojue/ecapture.git
cd ecapture
make
bin/ecapture

不使用 BTF 编译

从 2022/04/17 起，eCapture 支持使用 make nocore 命令在禁用 BTF 的情况下编译。即使在不支持 BTF 的 Linux 系统上也能正常工作。

make nocore
bin/ecapture --help

交叉编译

内核头文件

要交叉编译 eCapture 工具，你需要安装目标架构的内核头文件。你需要安装 linux-source 包。

kernel_ver=`uname -r | cut -d'-' -f 1`
sudo apt-get install -y linux-source-$kernel_ver
cd /usr/src
sudo tar -xf linux-source-${kernel_ver}.tar.bz2
cd /usr/src/linux-source-${kernel_ver}
test -f .config || yes "" | sudo make oldconfig

工具链

要在 amd64 架构系统上交叉编译 aarch64 架构的二进制文件，你需要安装 gcc-aarch64-linux-gnu 工具链。同样，要在 aarch64 系统上交叉编译 amd64 架构的二进制文件，你需要安装 gcc-x86-64-linux-gnu 工具链。

• amd64 架构：gcc-aarch64-linux-gnu
• arm64 架构：gcc-x86-64-linux-gnu

构建命令

要在 ubuntu amd64 系统上构建 arm64 制品，你可以设置 CROSS_ARCH 环境变量来实现交叉编译。

CROSS_ARCH=arm64 make

随时间变化的 Stargazers

贡献

有关提交补丁和贡献工作流程的详细信息，请参阅 CONTRIBUTING。