搜索歷史

清空
搜索熱詞
      0
      • 聊天消息
      • 系統(tǒng)消息
      • 評論與回復(fù)
      VIP于 到期 續(xù)費(fèi)
      登錄后你可以
      • 下載海量資料
      • 學(xué)習(xí)在線課程
      • 觀看技術(shù)視頻
      • 寫文章/發(fā)帖/加入社區(qū)
      會(huì)員中心
      創(chuàng)作中心
      發(fā)布
      創(chuàng)作活動(dòng)

      完善資料讓更多小伙伴認(rèn)識你,還能領(lǐng)取20積分哦,立即完善>

      3天內(nèi)不再提示

      基于eBPF技術(shù)實(shí)現(xiàn)TLS加密的明文捕獲

      哆啦安全 ? 來源:哆啦安全 ? 作者:云天實(shí)驗(yàn)室 ? 2022-11-21 11:40 ? 次閱讀

      基于eBPF技術(shù)實(shí)現(xiàn)TLS加密的明文捕獲,無需CA證書

      eCapture支持tls、bash、mysqld、postgres等模塊的信息提取與捕獲

      支持Linux系統(tǒng)內(nèi)核4.15以上版本,支持Android系統(tǒng)內(nèi)核5.4以上版本

      不支持Windows、macOS系統(tǒng)

      eCapture工作原理和系統(tǒng)架構(gòu)

      https://ecapture.cc/zh/guide/how-it-works.html

      eBPF HOOK uprobe實(shí)現(xiàn)的各種用戶態(tài)進(jìn)程的數(shù)據(jù)捕獲,無需改動(dòng)原程序

      (1).SSL/HTTPS數(shù)據(jù)導(dǎo)出功能,針對HTTPS的數(shù)據(jù)包抓取,不需要導(dǎo)入CA證書。

      (2).bash的命令捕獲,HIDS的bash命令監(jiān)控解決方案。

      (3).mysql query等數(shù)據(jù)庫的數(shù)據(jù)庫審計(jì)解決方案。

      https://ecapture.cc/zh/guide/introduction.html
https://ecapture.cc/zh/guide/how-it-works.html
https://ecapture.cc/zh/examples/android.html
https://ecapture.cc/zh/examples/docker.html
https://ecapture.cc/zh/examples/index.html

      Ubuntu20.04 arm64環(huán)境

      Ubuntu20.04.2.0環(huán)境的安裝與配置過程 Ubuntu環(huán)境Python3版本的更新升級使用方法 Ubuntu安裝配置切換Python3版本的解決方法

      https://ubuntu.com/#download
https://ubuntu.pkgs.org/20.04/ubuntu-updates-multiverse-arm64/
      查看Linux內(nèi)核版本 
      cat /proc/version
uname -r
uname -a

      5ba20e9e-680d-11ed-8abf-dac502259ad0.png

      配置eCapture源碼編譯環(huán)境

      mkdir ~/env && cd ~/env
wget https://dl.google.com/go/go1.17.13.linux-amd64.tar.gz
tar xvf go1.17.13.linux-amd64.tar.gz
或
wget https://golang.google.cn/dl/go1.18.linux-arm64.tar.gz
tarxvfgo1.18.linux-arm64.tar.gz
vim ~/.bashrc
source ~/.bashrc

      5bccb176-680d-11ed-8abf-dac502259ad0.png

      5c1930f0-680d-11ed-8abf-dac502259ad0.png

      sudo apt-get install --yes wget git golang build-essential pkgconf libelf-dev llvm-12 clang-12 linux-tools-generic linux-tools-common
wget https://golang.google.cn/dl/go1.18.linux-arm64.tar.gz
sudo rm -rf /usr/local/go && sudo tar -C /usr/local -xzf go1.18.linux-arm64.tar.gz

      5c61eb56-680d-11ed-8abf-dac502259ad0.png

      5cbb7b80-680d-11ed-8abf-dac502259ad0.png

      for tool in "clang" "llc" "llvm-strip"
do
sudo rm -f /usr/bin/$tool
sudo ln -s /usr/bin/$tool-12 /usr/bin/$tool
done

      5d1adabc-680d-11ed-8abf-dac502259ad0.png

      vim ~/.bashrc
source ~/.bashrc

      5d45e3ba-680d-11ed-8abf-dac502259ad0.png

      5d88de36-680d-11ed-8abf-dac502259ad0.png

      git clone https://github.com/ehids/ecapture.git

      5dd1cbd2-680d-11ed-8abf-dac502259ad0.png

      bpftool安裝

      sudo apt install linux-tools-5.15.0-53-generic
sudo apt install linux-tools-generic

      eCapture源碼的編譯方法

      cdecapture
make

      5dfe04b8-680d-11ed-8abf-dac502259ad0.png

      5ec1fb20-680d-11ed-8abf-dac502259ad0.png

      60370c48-680d-11ed-8abf-dac502259ad0.png

      (1).編譯支持core版本的二進(jìn)制程序

      ANDROID=1 make

      6072f35c-680d-11ed-8abf-dac502259ad0.png

      60c48334-680d-11ed-8abf-dac502259ad0.png

      (2).編譯僅支持當(dāng)前內(nèi)核版本的二進(jìn)制程序

      ANDROID=1 make nocore

      61c5ef5c-680d-11ed-8abf-dac502259ad0.png

      620e8d20-680d-11ed-8abf-dac502259ad0.png

      adb push ecapture /data/local/tmp/
adb root
adb remount
adb shell
cd /data/local/tmp
chmod 777 ecapture
./ecapture tls




      審核編輯:劉清

      聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報(bào)投訴
      • Linux系統(tǒng)
        +關(guān)注

        關(guān)注

        4

        文章

        590

        瀏覽量

        27316
      • LINUX內(nèi)核
        +關(guān)注

        關(guān)注

        1

        文章

        316

        瀏覽量

        21608
      • macOS系統(tǒng)
        +關(guān)注

        關(guān)注

        0

        文章

        9

        瀏覽量

        1539
      • TLS
        TLS
        +關(guān)注

        關(guān)注

        0

        文章

        44

        瀏覽量

        4227

      原文標(biāo)題:eCapture|Android https明文抓包

      文章出處:【微信號:哆啦安全,微信公眾號:哆啦安全】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。

      收藏 人收藏

        評論

        相關(guān)推薦

        TLSclient如何與測試網(wǎng)站建立TLS連接并獲取加密數(shù)據(jù)?

        該示例程序提供了一個(gè)簡單的TLSclient,與測試網(wǎng)站建立TLS連接并獲取加密數(shù)據(jù)。
        發(fā)表于 03-30 07:41

        軟件加密技術(shù)和注冊機(jī)制加密基礎(chǔ)

        軟件加密技術(shù)和注冊機(jī)制加密基礎(chǔ) 本文是一篇軟件加密技術(shù)的基礎(chǔ)性文章,簡要介紹了軟件加密的一些基本常識和一些加密產(chǎn)品,適用于國內(nèi)軟件開發(fā)商或者
        發(fā)表于 07-19 07:33

        mbed TLS的目標(biāo)是什么

        前言 mbed TLS(以前稱為PolarSSL)是TLS和SSL協(xié)議的實(shí)現(xiàn),并且需要相應(yīng)的加密算法和支持代碼。這是雙重許可與Apache許可證2.0版(與GPLv2許可也可)。網(wǎng)站上
        發(fā)表于 07-19 06:11

        STM32+FreeRTOS+LWIP+WolfSSL實(shí)現(xiàn)HTTPS

        STM32+FreeRTOS+LWIP+WolfSSL 實(shí)現(xiàn) HTTPS(超詳細(xì)):如今的物聯(lián)網(wǎng)時(shí)代,需要追求數(shù)據(jù)通信的安全性,傳統(tǒng)的 HTTP 是明文傳輸,需要使用 HTTPS 的加密機(jī)制才能
        發(fā)表于 08-24 08:20

        RT-Thread系統(tǒng)基于SAL接口的TLS實(shí)現(xiàn)

        Security,安全傳輸層),TLS是建立在傳輸層TCP協(xié)議之上的協(xié)議,服務(wù)于應(yīng)用層,它的前身是SSL(Secure Socket Layer,安全套接字層),它實(shí)現(xiàn)了將應(yīng)用層的報(bào)文進(jìn)行加密后再交
        發(fā)表于 06-21 11:26

        openEuler 倡議建立 eBPF 軟件發(fā)布標(biāo)準(zhǔn)

        eBPF 是一個(gè)能夠在內(nèi)核運(yùn)行沙箱程序的技術(shù),提供了一種在內(nèi)核事件和用戶程序事件發(fā)生時(shí)安全注入代碼的機(jī)制,使得非內(nèi)核開發(fā)人員也可以對內(nèi)核進(jìn)行控制。隨著內(nèi)核的發(fā)展,eBPF 逐步從最初的數(shù)據(jù)包過濾
        發(fā)表于 12-23 16:21

        一種超混沌圖像加密算法的選擇明文攻擊

        超混沌圖像加密,明文攻擊,密鑰流,加密算法,安全性。
        發(fā)表于 05-17 09:49 ?7次下載

        基于明文編碼加密方案研究

        對著名的最優(yōu)非對稱填充加密方案(RSA-OAEP)及其改進(jìn)方案進(jìn)行分析發(fā)現(xiàn):(1)這些方案的明文填充機(jī)制均采用Hash函數(shù)來隱藏明文統(tǒng)計(jì)特性,然而Hash函數(shù)特有的屬性導(dǎo)致RSA-OAEP及其改進(jìn)
        發(fā)表于 01-02 14:18 ?0次下載
        基于<b class='flag-5'>明文</b>編碼<b class='flag-5'>加密</b>方案研究

        基于明文長度的構(gòu)建橢圓曲線密碼密文的方法

        針對存儲(chǔ)橢圓曲線密碼加密生成的密文與明文相比需要的存儲(chǔ)空間較多的問題,提出了一種基于明文長度的構(gòu)建橢圓曲線密碼密文的方法。首先,該方法通過分析橢圓曲線密碼加密運(yùn)算流程,推導(dǎo)出
        發(fā)表于 01-02 17:19 ?0次下載
        基于<b class='flag-5'>明文</b>長度的構(gòu)建橢圓曲線密碼密文的方法

        Firefox瀏覽器放棄支持加密協(xié)議TLS 1.1和以下版本

        Firefox瀏覽器自74.0版本開始,將完全放棄對加密協(xié)議TLS 1.0和TLS 1.1的支持。屆時(shí),瀏覽器將通過顯示“安全連接失敗”錯(cuò)誤頁面來阻止用戶訪問不支持TLS 1.2或更高
        的頭像 發(fā)表于 01-11 09:54 ?2217次閱讀

        eBPF是什么以及eBPF能干什么

        規(guī)則使用基于寄存器的虛擬機(jī)來描述包過濾的行為。比較常用的功能是通過過濾來統(tǒng)計(jì)流量,tcpdump工具就是基于BPF實(shí)現(xiàn)的。而eBPF對它進(jìn)行了擴(kuò)展來實(shí)現(xiàn)更多的功能。 主要區(qū)別如下: 1)允許使用C 語言編寫
        的頭像 發(fā)表于 07-05 15:17 ?1.2w次閱讀
        <b class='flag-5'>eBPF</b>是什么以及<b class='flag-5'>eBPF</b>能干什么

        Linux內(nèi)核觀測技術(shù)eBPF中文入門指南

        eBPF(extened Berkeley Packet Filter)是一種內(nèi)核技術(shù),它允許開發(fā)人員在不修改內(nèi)核代碼的情況下運(yùn)行特定的功能。eBPF 的概念源自于 Berkeley Packet Filter(BPF),后者是
        的頭像 發(fā)表于 02-08 09:45 ?2071次閱讀

        基于ebpf的性能工具-bpftrace

        在前面我已經(jīng)分享了關(guān)于ebpf入門的文章: 基于ubuntu22.04-深入淺出 eBPF 。 這篇文章介紹一個(gè)基于ebpf技術(shù)的強(qiáng)大工具--bpftrace。 在現(xiàn)代計(jì)算機(jī)系統(tǒng)中,了
        的頭像 發(fā)表于 09-04 16:02 ?631次閱讀
        基于<b class='flag-5'>ebpf</b>的性能工具-bpftrace

        TLS協(xié)議基本原理與Wireshark分析

        傳輸層安全協(xié)議(TLS)是一種加密通信協(xié)議,用于確保在網(wǎng)絡(luò)上的數(shù)據(jù)傳輸過程中的安全性和隱私保護(hù)。TLS的前身是安全套接層協(xié)議(SSL),后來在標(biāo)準(zhǔn)化過程中發(fā)展成為TLS。
        發(fā)表于 02-28 10:26 ?1973次閱讀
        <b class='flag-5'>TLS</b>協(xié)議基本原理與Wireshark分析

        什么是TLS加密?TLS加密的功能特點(diǎn)

        的數(shù)據(jù)傳輸安全。它是SSL(Secure Sockets Layer)協(xié)議的后繼者,繼承并增強(qiáng)了SSL的安全特性,已經(jīng)成為互聯(lián)網(wǎng)上加密通信的事實(shí)標(biāo)準(zhǔn)。 TLS加密的核心功能和特點(diǎn)包括: 1、數(shù)據(jù)
        的頭像 發(fā)表于 04-03 13:49 ?563次閱讀