eCapture 介绍

eCapture 是一款基于 eBPF 技术实现的用户态数据捕获工具。不需要 CA 证书，即可捕获 https/tls 的通讯明文。

项目在 2022 年 3 月中旬创建，一经发布，广受大家喜爱，至今不到两周已经 1200 多个 Star。

作用

1. 不需要 CA 证书，即可捕获 HTTPS/TLS 通信数据的明文。
2. 在 bash 审计场景，可以捕获 bash 命令。
3. 数据库审计场景，可以捕获 mysqld/mariadDB 的 SQL 查询。

官网

代码仓库见：https://github.com/ehids/ecapture ，也可以关注微信公众号「榫卯江湖」获取最新动态。

产品架构

eCapture 系统用户态程序使用 Golang 语言开发，具有良好的系统兼容性，无依赖快速部署，更适合云原生场景。内核态代码使用 C 编写，使用 clang/llvm 编译，生产 bpf 字节码后，采用  go-bindata 转化为 golang 语法文件，之后采用  ehids/ebpfmanager 类库，调用 bpf syscall 进行加载、HOOK、map 读取。golang 编译后，无其他任何依赖即可运行，兼容 linux kernel 4.18 以上所有版本。

eBPF 加载机制

关于 eBPF 详细加载机制，可到 https://ebpf.io/ 查阅相关原理。

实现原理

如工作原理的图所示，在用户态的加密解密函数中下钩子。tcpdump (libpcap) 是在数据包接收到，XDP 处理后，进行  clone packet，进行包的复制，发送给用户态进程。二者工作的所在层不一样。

功能介绍

eCapture 有三个模块

1. tls/ssl 明文数据捕获
2. bash 命令审计
3. mysqld 数据库审计

第一个功能适用于基于 tls/ssl 解密需求的运维监控、故障排查、抽样分析场景。

第二个功能适用于安全领域的 bash 入侵发现场景，这里只是简单的功能，可以在此基础上增加其他功能。

第三个功能适用于数据库审计场景，尤其是做数据安全、数据防泄漏，甚至入侵检测等。同样，可以在此基础上扩充其他功能。

查看其使用说明，如下

  cfc4n@vm-desktop:~/ehids/ecapture$ ./bin/ecapture   
NAME:   
 ecapture - capture text SSL content without CA cert by ebpf hook.   
   
USAGE:   
 ecapture [flags]   
   
VERSION:   
 0.1.5-20220325-47edbed   
   
COMMANDS:   
 bash  capture bash command   
 help  Help about any command   
 mysqld56 capture sql queries from mysqld >5.6 .   
 tls  alias name:openssl , use to capture tls/ssl text content without CA cert.   
   
DESCRIPTION:   
 ecapture是一款无需安装CA证书，即可抓去HTTPS、TLS等明文数据包的工具。   
 也可以捕获bash的命令，适用于安全审计场景。包括mysqld的数据库审计等。   
 仓库地址: https://github.com/ehids/ecapture   
   
OPTIONS:   
      --debug[=false] enable debug logging   
  -h, --help[=false] help for ecapture   
      --hex[=false] print byte strings as hex encoded strings   
  -p, --pid=0  if target_pid is 0 then we target all pids   

其中，有四个全局参数，分别是

• --debug ， 用于启动调试日志
• --help  ， 查看帮助
• --hex ，按照 hex 模式打印字符，用于查看不可见字符
• --pid ，用于针对特定进程进行数据捕获

HOOK 机制

eCapture 采用 eBPF uprobe 相关函数进行 HOOK，故需要目标用户态函数信息，包含函数符号表 (symbol table)，函数偏移地址 (offset)。在大部分 linux 发行版中，使用的二进制可执行文件 (ELF) 都是包含符号表的；少部分发行版，会去掉 ELF 中的符号表。那么针对这种场景，就需要用户自行定位目标函数所在 ELF/SO 中的偏移地址，通过工具的参数来指定。

对于 ELF 文件，可以将目标类库静态编译到自身，也可以通过动态链接库的方式引用。那么对于这两种形式，eCapture 根据不同场景进行自动查找。若查找不到，用户可以通过命令行参数指定。

故 eCapture 支持  HOOK ELF，以及  HOOK SO 两种模式。会自动分析 ELF 文件，读取 .dynamic 和 .dynsym 等段信息，查找相关链接库名以及函数名、偏移地址。

查找原理如下图：

tls/ssl

ecapture tls 命令用于启动 tls/ssl 模块，支持了三类 tls/ssl 加密类库，分别是

• openssl ，动态链接库名字为  libssl.so
• gnutls ，动态链接库名字为  libgnutls.so
• nss/nspr ，动态链接库名字为  libnspr4.so

在不同的 linux 发行版中，因为各种原因，会选择不同的类库。比如  wget 程序，在 ubuntu 跟 centos 中就会使用不同的类库。有的是  openssl，有的是  gnutls，甚至两个库都引入了。

具体情况，你可以使用  ldd $ELF_PATH | grep -E "tls|ssl|nspr|nss" 来查看一个 ELF 文件使用类库情况。

  cfc4n@vm-desktop:~$ ldd `which wget` |grep -E "tls|ssl|nspr|nss"   
 libssl.so.1.1 => /lib/x86_64-linux-gnu/libssl.so.1.1 (0x00007f50699f6000)   

对于 firefox、chrome 这种进程，需要在程序启动后才能看到 tls 类库依赖情况，那么，你可以使用  sudo pldd $PID | grep -E "tls|ssl|nspr|nss" 来查看

  cfc4n@vm-desktop:~$ ps -ef|grep firefox   
cfc4n       6846    1432 45 17:50 ?        00:00:04 /usr/lib/firefox/firefox -new-window   
cfc4n@vm-desktop:~$ sudo pldd 6846 |grep -E "tls|ssl|nspr|nss"   
/usr/lib/firefox/libnspr4.so   
/usr/lib/firefox/libnssutil3.so   
/usr/lib/firefox/libnss3.so   
/usr/lib/firefox/libssl3.so   
/lib/x86_64-linux-gnu/libnss_files.so.2   
/lib/x86_64-linux-gnu/libnss_mdns4_minimal.so.2   
/lib/x86_64-linux-gnu/libnss_dns.so.2   
/usr/lib/firefox/libnssckbi.so   

eCapture 的 tls 模块命令行参数如下，用户可以使用默认配置外，也可以根据自己环境自行指定。

  OPTIONS:   
      --curl=""  curl or wget file path, use to dectet openssl.so path, default:/usr/bin/curl   
      --firefox="" firefox file path, default: /usr/lib/firefox/firefox.   
      --gnutls="" libgnutls.so file path, will automatically find it from curl default.   
  -h, --help[=false] help for tls   
      --libssl="" libssl.so file path, will automatically find it from curl default.   
      --nspr=""  libnspr44.so file path, will automatically find it from curl default.   
      --wget=""  wget file path, default: /usr/bin/wget.   

同时，使用方法也比较简单， ./ecapture tls --hex 命令即可。

在 linux 上，firefox 程序中，有很多通讯都使用了  /usr/lib/firefox/libnspr4.so，但实际上业务请求是可以通过  Socket Thread 进程来发送的。可以通过这个特点来过滤，对于 chrome 程序，相信细心的你，也能搞定。

bash

笔者在安全部门工作，接到过 bash 审计需求，其实现方法无非是修改系统类库、使用内核模块等技术实现，对系统稳定性有一定风险。基于 eBPF 技术实现，可以避开这些问题。这里的 bash 命令的监控，是作为 eBPF 技术在安全审计场景中的一个探索。

eCapture 在实现时首先查找 ENV 的 $SHELL 值，作为 bash 的二进制文件路径进行 HOOK。对于 bash 加载了  libreadline.so 的场景，也会自动分析，进行符号表查找、offset 定位，再进行 HOOK。

bash 模块的参数有三个，用户可以自定义  bash、 readlineso 的路径。

  OPTIONS:   
      --bash=""  $SHELL file path, eg: /bin/bash , will automatically find it from $ENV default.   
  -h, --help[=false] help for bash   
      --readlineso="" readline.so file path, will automatically find it from $BASH_PATH default.   

mysql/mariadb

与 bash 模块一样，也是作为数据库审计的一个探索。笔者环境为 ubuntu 12.04，mysqld 也因为协议关系，使用了衍生的  MariadDB，用户也可以根据自己实际场景，使用命令行参数进行指定。

mysqld 模块，核心原理是 HOOK 了  dispatch_command 函数，

• 第一个参数为 CMD 类型，值为 COM_QUERY 时，为查询场景，即审计需求的查询类型。
• 第二个参数是 THD 的结构体，在这里我们用不到。
• 第三个是查询的 SQL 语句
• 第四个参数是 SQL 语句的长度，

  // https://github.com/MariaDB/server/blob/b5852ffbeebc3000982988383daeefb0549e058a/sql/sql_parse.h#L112   
dispatch_command_return dispatch_command(enum enum_server_command command, THD *thd,   
   char* packet, uint packet_length, bool blocking = true);   

mysqld 审计模块参数如下:

  OPTIONS:   
  -f, --funcname=""   function name to hook   
  -h, --help[=false]   help for mysqld56   
  -m, --mysqld="/usr/sbin/mariadbd" mysqld binary file path, use to hook   
      --offset=0   0x710410   

其中， --mysqld 是用来指定 mysqld 的路径。mysqld 二进制程序符号表里虽然有  dispatch_command 信息，但  dispatch_command 这个函数名每次编译都是变化的，故不能写死。

eCapture 的查找方式是读取 mysqld 二进制的 .dynamic 段信息，正则语法  \w+dispatch_command\w+ 去匹配所有符号信息，找到其函数名、偏移地址，再使用。

你也可以通过 objdump 命令来查找，再通过命令行参数自行指定 funcname。

mariadbd version : 10.5.13-MariaDB-0ubuntu0.21.04.1 objdump -T /usr/sbin/mariadbd |grep dispatch_command 0000000000710410 g    DF .text 0000000000002f35  Base        _Z16dispatch_command19enum_server_commandP3THDPcjbb

即 offset 为 0x710410，函数名为 _Z16dispatch_command19enum_server_commandP3THDPcjbb。

使用

下载二进制包

eCapture 发布在 https://github.com/ehids/ecapture/releases ，目前最新版为  eCapture v0.1.5。

可在 linux kernel 4.18 以上版本运行。

二进制包地址：

https://github.com/ehids/ecapture/releases/download/v0.1.5/ecapture_v0.1.5.zip

国内加速地址：https://github.do/https://github.com/ehids/ecapture/releases/download/v0.1.5/ecapture_v0.1.5.zip

自行编译

代码仓库在 https://github.com/ehids/ecapture ，你可以自行修改源码编译。