eCapture|Android https明文抓包

admin
admin
admin
138835
文章
114
评论
2022年11月20日00:07:17评论248 views字数 2080阅读6分56秒阅读模式

基于eBPF技术实现TLS加密的明文捕获,无需CA证书
eCapture支持tls、bash、mysqld、postgres等模块的信息提取与捕获


支持Linux系统内核4.15以上版本,支持Android系统内核5.4以上版本

不支持Windows、macOS系统


eCapture工作原理和系统架构

https://ecapture.cc/zh/guide/how-it-works.html


eBPF HOOK uprobe实现的各种用户态进程的数据捕获,无需改动原程序

(1).SSL/HTTPS数据导出功能,针对HTTPS的数据包抓取,不需要导入CA证书。

(2).bash的命令捕获,HIDS的bash命令监控解决方案。

(3).mysql query等数据库的数据库审计解决方案。

https://ecapture.cc/zh/guide/introduction.htmlhttps://ecapture.cc/zh/guide/how-it-works.htmlhttps://ecapture.cc/zh/examples/android.htmlhttps://ecapture.cc/zh/examples/docker.htmlhttps://ecapture.cc/zh/examples/index.html


Ubuntu20.04 arm64环境
Ubuntu20.04.2.0环境的安装与配置过程
Ubuntu环境Python3版本的更新升级使用方法
Ubuntu安装配置切换Python3版本的解决方法
https://ubuntu.com/#downloadhttps://ubuntu.pkgs.org/20.04/ubuntu-updates-multiverse-arm64/

查看Linux内核版本
cat /proc/versionuname -runame -a

eCapture|Android https明文抓包


配置eCapture源码编译环境

mkdir ~/env && cd ~/envwget https://dl.google.com/go/go1.17.13.linux-amd64.tar.gztar xvf go1.17.13.linux-amd64.tar.gzwget https://golang.google.cn/dl/go1.18.linux-arm64.tar.gztar xvf go1.18.linux-arm64.tar.gzvim ~/.bashrcsource ~/.bashrc

eCapture|Android https明文抓包


eCapture|Android https明文抓包


sudo apt-get install --yes wget git golang build-essential pkgconf libelf-dev llvm-12 clang-12 linux-tools-generic linux-tools-commonwget https://golang.google.cn/dl/go1.18.linux-arm64.tar.gzsudo rm -rf /usr/local/go && sudo tar -C /usr/local -xzf go1.18.linux-arm64.tar.gz

eCapture|Android https明文抓包


eCapture|Android https明文抓包


for tool in "clang" "llc" "llvm-strip"dosudo rm -f /usr/bin/$toolsudo ln -s /usr/bin/$tool-12 /usr/bin/$tooldone

eCapture|Android https明文抓包


vim ~/.bashrcsource ~/.bashrc

eCapture|Android https明文抓包


eCapture|Android https明文抓包


git clone https://github.com/ehids/ecapture.git

eCapture|Android https明文抓包


bpftool安装

sudo apt install linux-tools-5.15.0-53-genericsudo apt install linux-tools-generic


eCapture源码的编译方法

cd ecapturemake

eCapture|Android https明文抓包


eCapture|Android https明文抓包


eCapture|Android https明文抓包


(1).编译支持core版本的二进制程序

ANDROID=1 make

eCapture|Android https明文抓包


eCapture|Android https明文抓包


(2).编译仅支持当前内核版本的二进制程序

ANDROID=1 make nocore

eCapture|Android https明文抓包


eCapture|Android https明文抓包


adb push ecapture /data/local/tmp/adb rootadb remountadb shellcd /data/local/tmpchmod 777 ecapture./ecapture tls


参考链接

https://ecapture.cc/https://github.com/ehids/ecapturehttps://github.com/ehids/ecapture/blob/master/README_CN.mdhttps://github.com/ehids/ecapture/releaseshttps://bbs.pediy.com/thread-275179.htmhttps://mp.weixin.qq.com/s/KWm5d0uuzOzReRtr9PmuWQ


推荐阅读

常见抓包方法汇总

eCapture是基于eBPF技术实现用户态数据捕获无需CA证书抓https网络明文通讯


eCapture|Android https明文抓包


eCapture|Android https明文抓包

原文始发于微信公众号(哆啦安全):eCapture|Android https明文抓包

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月20日00:07:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   eCapture|Android https明文抓包https://cn-sec.com/archives/1418789.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息