peetch:一个针对eBPF的安全实践研究平台
2022-8-23 13:19:37 Author: www.freebuf.com(查看原文) 阅读量:11 收藏

关于peetch

peetch是一个针对eBPF的安全实践研究平台,该平台由多种工具组成,旨在帮助广大研究人员通过各种方式绕过TLS协议保护功能,并以此来研究和分析eBPF的安全性。

当前版本的peetch支持两个子命令,第一个为“dump”,该命令可以通过关于每个数据包源进程的相关信息来嗅探网络流量;第二个命令为“tls”,该命令可以使用OpenSSL来提取加密密钥,并识别进程信息。

通过使用这两个命令,我们可以轻松解密PCAPng格式中记录的TLS交换记录。

工具限制

当前版本的peetch仅支持OpenSSL和TLS 1.2。

工具安装

peetch的正常工作需要依赖多个组件,其中包括bccScapy。我们可以通过使用Docker镜像来轻松构建工具环境,相关命令如下:

docker build -t quarkslab/peetch .

工具使用

下列给出的命令可以帮助你进入peetch的Docker镜像,并启动peetch:

docker run --privileged --network host --mount type=bind,source=/sys,target=/sys --mount type=bind,source=/proc,target=/proc --rm -it quarkslab/peetch

dump命令

dump命令可以帮助我们使用一个eBPF TC分类符来嗅探网络数据包,并获取对应进程的PID和进程名称:

peetch dump

curl/1289291 - Ether / IP / TCP 10.211.55.10:53052 > 208.97.177.124:https S / Padding

curl/1289291 - Ether / IP / TCP 208.97.177.124:https > 10.211.55.10:53052 SA / Padding

curl/1289291 - Ether / IP / TCP 10.211.55.10:53052 > 208.97.177.124:https A / Padding

curl/1289291 - Ether / IP / TCP 10.211.55.10:53052 > 208.97.177.124:https PA / Raw / Padding

curl/1289291 - Ether / IP / TCP 208.97.177.124:https > 10.211.55.10:53052 A / Padding

需要注意的是,dump命令只会基于TCP分段来捕捉IPv4流量。

为了方便起见,捕捉到的数据包可以使用“--write”命令保存为PCAPng格式(包含进程相关信息):

peetch dump --write peetch.pcapng

^C

这种PCAPng格式支持使用WireShark或Scapy来进行修改:

scapy

>>> l = rdpcap("peetch.pcapng")

>>> l[0]

<Ether  dst=00:1c:42:00:00:18 src=00:1c:42:54:f3:34 type=IPv4 |<IP  version=4 ihl=5 tos=0x0 len=60 id=11088 flags=DF frag=0 ttl=64 proto=tcp chksum=0x4bb1 src=10.211.55.10 dst=208.97.177.124 |<TCP  sport=53054 dport=https seq=631406526 ack=0 dataofs=10 reserved=0 flags=S window=64240 chksum=0xc3e9 urgptr=0 options=[('MSS', 1460), ('SAckOK', b''), ('Timestamp', (1272423534, 0)), ('NOP', None), ('WScale', 7)] |<Padding  load='\x00\x00' |>>>>

>>> l[0].comment

b'curl/1289909'

tls命令

这个子命令旨在识别使用了OpenSSL的进程,并尝试导出进程相关的各种明文信息以及敏感数据。默认情况下,“peetch tls”只会按行显示每个进程的信息,如果使用“--directions”参数则可以显示更多交换信息:

peetch tls --directions

<- curl (1291078) 208.97.177.124/443 TLS1.2 ECDHE-RSA-AES128-GCM-SHA256

> curl (1291078) 208.97.177.124/443 TLS1.-1 ECDHE-RSA-AES128-GCM-SHA256

使用“--content”命令可以显示OpenSSL缓冲区内容:

peetch tls --content

<- curl (1290608) 208.97.177.124/443 TLS1.2 ECDHE-RSA-AES128-GCM-SHA256

 

   0000  47 45 54 20 2F 20 48 54 54 50 2F 31 2E 31 0D 0A  GET / HTTP/1.1..

   0010  48 6F 73 74 3A 20 77 77 77 2E 70 65 72 64 75 2E  Host: www.perdu.

   0020  63 6F 6D 0D 0A 55 73 65 72 2D 41 67 65 6E 74 3A  com..User-Agent:

   0030  20 63 75 72 6C 2F 37 2E 36 38 2E 30 0D 0A 41 63   curl/7.68.0..Ac

 

-> curl (1290608) 208.97.177.124/443 TLS1.-1 ECDHE-RSA-AES128-GCM-SHA256

 

   0000  48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D  HTTP/1.1 200 OK.

   0010  0A 44 61 74 65 3A 20 54 68 75 2C 20 31 39 20 4D  .Date: Thu, 19 M

   0020  61 79 20 32 30 32 32 20 31 38 3A 31 36 3A 30 31  ay 2022 18:16:01

   0030  20 47 4D 54 0D 0A 53 65 72 76 65 72 3A 20 41 70   GMT..Server: Ap

“--secrets”参数可以显示从内存中提取出来的TLS aMaster Secrets,下列示例将利用“--write”命令写入提取出的敏感信息::

$ (sleep 5; curl https://www.perdu.com/?name=highly%20secret%20information --tls-max 1.2 -http1.1) &

 

# peetch tls --write &

curl (1293232) 208.97.177.124/443 TLS1.2 ECDHE-RSA-AES128-GCM-SHA256

 

# peetch dump --write traffic.pcapng

^C

 

# Add the master secret to a PCAPng file

$ editcap --inject-secrets tls,1293232-master_secret.log traffic.pcapng traffic-ms.pcapng

 

$ scapy

>>> load_layer("tls")

>>> conf.tls_session_enable = True

>>> l = rdpcap("traffic-ms.pcapng")

>>> l[13][TLS].msg

[<TLSApplicationData  data='GET /?name=highly%20secret%20information HTTP/1.1\r\nHost: www.perdu.com\r\nUser-Agent: curl/7.68.0\r\nAccept: */*\r\n\r\n' |>]

许可证协议

本项目的开发与发布遵循GPL-2.0开源许可证协议。

项目地址

peetch:【GitHub传送门

参考资料

https://github.com/iovisor/bcc

https://github.com/secdev/scapy


文章来源: https://www.freebuf.com/articles/security-management/342625.html
如有侵权请联系:admin#unsafe.sh