peetch是一个针对eBPF的安全实践研究平台,该平台由多种工具组成,旨在帮助广大研究人员通过各种方式绕过TLS协议保护功能,并以此来研究和分析eBPF的安全性。
当前版本的peetch支持两个子命令,第一个为“dump”,该命令可以通过关于每个数据包源进程的相关信息来嗅探网络流量;第二个命令为“tls”,该命令可以使用OpenSSL来提取加密密钥,并识别进程信息。
通过使用这两个命令,我们可以轻松解密PCAPng格式中记录的TLS交换记录。
当前版本的peetch仅支持OpenSSL和TLS 1.2。
peetch的正常工作需要依赖多个组件,其中包括bcc和Scapy。我们可以通过使用Docker镜像来轻松构建工具环境,相关命令如下:
docker build -t quarkslab/peetch .
下列给出的命令可以帮助你进入peetch的Docker镜像,并启动peetch:
docker run --privileged --network host --mount type=bind,source=/sys,target=/sys --mount type=bind,source=/proc,target=/proc --rm -it quarkslab/peetch
dump命令可以帮助我们使用一个eBPF TC分类符来嗅探网络数据包,并获取对应进程的PID和进程名称:
peetch dump curl/1289291 - Ether / IP / TCP 10.211.55.10:53052 > 208.97.177.124:https S / Padding curl/1289291 - Ether / IP / TCP 208.97.177.124:https > 10.211.55.10:53052 SA / Padding curl/1289291 - Ether / IP / TCP 10.211.55.10:53052 > 208.97.177.124:https A / Padding curl/1289291 - Ether / IP / TCP 10.211.55.10:53052 > 208.97.177.124:https PA / Raw / Padding curl/1289291 - Ether / IP / TCP 208.97.177.124:https > 10.211.55.10:53052 A / Padding
需要注意的是,dump命令只会基于TCP分段来捕捉IPv4流量。
为了方便起见,捕捉到的数据包可以使用“--write”命令保存为PCAPng格式(包含进程相关信息):
peetch dump --write peetch.pcapng ^C
这种PCAPng格式支持使用WireShark或Scapy来进行修改:
scapy >>> l = rdpcap("peetch.pcapng") >>> l[0] <Ether dst=00:1c:42:00:00:18 src=00:1c:42:54:f3:34 type=IPv4 |<IP version=4 ihl=5 tos=0x0 len=60 id=11088 flags=DF frag=0 ttl=64 proto=tcp chksum=0x4bb1 src=10.211.55.10 dst=208.97.177.124 |<TCP sport=53054 dport=https seq=631406526 ack=0 dataofs=10 reserved=0 flags=S window=64240 chksum=0xc3e9 urgptr=0 options=[('MSS', 1460), ('SAckOK', b''), ('Timestamp', (1272423534, 0)), ('NOP', None), ('WScale', 7)] |<Padding load='\x00\x00' |>>>> >>> l[0].comment b'curl/1289909'
这个子命令旨在识别使用了OpenSSL的进程,并尝试导出进程相关的各种明文信息以及敏感数据。默认情况下,“peetch tls”只会按行显示每个进程的信息,如果使用“--directions”参数则可以显示更多交换信息:
peetch tls --directions <- curl (1291078) 208.97.177.124/443 TLS1.2 ECDHE-RSA-AES128-GCM-SHA256 > curl (1291078) 208.97.177.124/443 TLS1.-1 ECDHE-RSA-AES128-GCM-SHA256
使用“--content”命令可以显示OpenSSL缓冲区内容:
peetch tls --content <- curl (1290608) 208.97.177.124/443 TLS1.2 ECDHE-RSA-AES128-GCM-SHA256 0000 47 45 54 20 2F 20 48 54 54 50 2F 31 2E 31 0D 0A GET / HTTP/1.1.. 0010 48 6F 73 74 3A 20 77 77 77 2E 70 65 72 64 75 2E Host: www.perdu. 0020 63 6F 6D 0D 0A 55 73 65 72 2D 41 67 65 6E 74 3A com..User-Agent: 0030 20 63 75 72 6C 2F 37 2E 36 38 2E 30 0D 0A 41 63 curl/7.68.0..Ac -> curl (1290608) 208.97.177.124/443 TLS1.-1 ECDHE-RSA-AES128-GCM-SHA256 0000 48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D HTTP/1.1 200 OK. 0010 0A 44 61 74 65 3A 20 54 68 75 2C 20 31 39 20 4D .Date: Thu, 19 M 0020 61 79 20 32 30 32 32 20 31 38 3A 31 36 3A 30 31 ay 2022 18:16:01 0030 20 47 4D 54 0D 0A 53 65 72 76 65 72 3A 20 41 70 GMT..Server: Ap
“--secrets”参数可以显示从内存中提取出来的TLS aMaster Secrets,下列示例将利用“--write”命令写入提取出的敏感信息::
$ (sleep 5; curl https://www.perdu.com/?name=highly%20secret%20information --tls-max 1.2 -http1.1) & # peetch tls --write & curl (1293232) 208.97.177.124/443 TLS1.2 ECDHE-RSA-AES128-GCM-SHA256 # peetch dump --write traffic.pcapng ^C # Add the master secret to a PCAPng file $ editcap --inject-secrets tls,1293232-master_secret.log traffic.pcapng traffic-ms.pcapng $ scapy >>> load_layer("tls") >>> conf.tls_session_enable = True >>> l = rdpcap("traffic-ms.pcapng") >>> l[13][TLS].msg [<TLSApplicationData data='GET /?name=highly%20secret%20information HTTP/1.1\r\nHost: www.perdu.com\r\nUser-Agent: curl/7.68.0\r\nAccept: */*\r\n\r\n' |>]
本项目的开发与发布遵循GPL-2.0开源许可证协议。
peetch:【GitHub传送门】