peetch:一个针对eBPF的安全实践研究平台
2022-8-24 18:2:51 Author: FreeBuf(查看原文) 阅读量:17 收藏

 关于peetch 

peetch是一个针对eBPF的安全实践研究平台,该平台由多种工具组成,旨在帮助广大研究人员通过各种方式绕过TLS协议保护功能,并以此来研究和分析eBPF的安全性。
当前版本的peetch支持两个子命令,第一个为“dump”,该命令可以通过关于每个数据包源进程的相关信息来嗅探网络流量;第二个命令为“tls”,该命令可以使用OpenSSL来提取加密密钥,并识别进程信息。
通过使用这两个命令,我们可以轻松解密PCAPng格式中记录的TLS交换记录。

 工具限制 

当前版本的peetch仅支持OpenSSL和TLS 1.2。

 工具安装 

peetch的正常工作需要依赖多个组件,其中包括bcc和Scapy。我们可以通过使用Docker镜像来轻松构建工具环境,相关命令如下:
docker build -t quarkslab/peetch .

 工具使用 

下列给出的命令可以帮助你进入peetch的Docker镜像,并启动peetch:
docker run --privileged --network host --mount type=bind,source=/sys,target=/sys --mount type=bind,source=/proc,target=/proc --rm -it quarkslab/peetch

(向右滑动,查看更多

dump命令

dump命令可以帮助我们使用一个eBPF TC分类符来嗅探网络数据包,并获取对应进程的PID和进程名称:
peetch dumpcurl/1289291 - Ether / IP / TCP 10.211.55.10:53052 > 208.97.177.124:https S / Paddingcurl/1289291 - Ether / IP / TCP 208.97.177.124:https > 10.211.55.10:53052 SA / Paddingcurl/1289291 - Ether / IP / TCP 10.211.55.10:53052 > 208.97.177.124:https A / Paddingcurl/1289291 - Ether / IP / TCP 10.211.55.10:53052 > 208.97.177.124:https PA / Raw / Paddingcurl/1289291 - Ether / IP / TCP 208.97.177.124:https > 10.211.55.10:53052 A / Padding
(向右滑动,查看更多
需要注意的是,dump命令只会基于TCP分段来捕捉IPv4流量。为了方便起见,捕捉到的数据包可以使用“--write”命令保存为PCAPng格式(包含进程相关信息):
peetch dump --write peetch.pcapng^C
这种PCAPng格式支持使用WireShark或Scapy来进行修改
scapy>>> l = rdpcap("peetch.pcapng")>>> l[0]<Ether  dst=00:1c:42:00:00:18 src=00:1c:42:54:f3:34 type=IPv4 |<IP  version=4 ihl=5 tos=0x0 len=60 id=11088 flags=DF frag=0 ttl=64 proto=tcp chksum=0x4bb1 src=10.211.55.10 dst=208.97.177.124 |<TCP  sport=53054 dport=https seq=631406526 ack=0 dataofs=10 reserved=0 flags=S window=64240 chksum=0xc3e9 urgptr=0 options=[('MSS'1460), ('SAckOK', b''), ('Timestamp', (12724235340)), ('NOP', None), ('WScale'7)] |<Padding  load='\x00\x00' |>>>>>>> l[0].commentb'curl/1289909'

(向右滑动,查看更多

tls命令

这个子命令旨在识别使用了OpenSSL的进程,并尝试导出进程相关的各种明文信息以及敏感数据。默认情况下,“peetch tls”只会按行显示每个进程的信息,如果使用“--directions”参数则可以显示更多交换信息:
peetch tls --directions<- curl (1291078208.97.177.124/443 TLS1.2 ECDHE-RSA-AES128-GCM-SHA256> curl (1291078) 208.97.177.124/443 TLS1.-1 ECDHE-RSA-AES128-GCM-SHA256
(向右滑动,查看更多
使用“--content”命令可以显示OpenSSL缓冲区内容:
peetch tls --content<- curl (1290608) 208.97.177.124/443 TLS1.2 ECDHE-RSA-AES128-GCM-SHA256   0000  47 45 54 20 2F 20 48 54 54 50 2F 31 2E 31 0D 0A  GET / HTTP/1.1..
0010 48 6F 73 74 3A 20 77 77 77 2E 70 65 72 64 75 2E Host: www.perdu.
0020 63 6F 6D 0D 0A 55 73 65 72 2D 41 67 65 6E 74 3A com..User-Agent:
0030 20 63 75 72 6C 2F 37 2E 36 38 2E 30 0D 0A 41 63 curl/7.68.0..Ac
-> curl (1290608) 208.97.177.124/443 TLS1.-1 ECDHE-RSA-AES128-GCM-SHA256
0000 48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D HTTP/1.1 200 OK.
0010 0A 44 61 74 65 3A 20 54 68 75 2C 20 31 39 20 4D .Date: Thu, 19 M
0020 61 79 20 32 30 32 32 20 31 38 3A 31 36 3A 30 31 ay 2022 18:16:01
0030 20 47 4D 54 0D 0A 53 65 72 76 65 72 3A 20 41 70 GMT..Server: Ap
(向右滑动,查看更多
“--secrets”参数可以显示从内存中提取出来的TLS aMaster Secrets,下列示例将利用“--write”命令写入提取出的敏感信息:
$ (sleep 5; curl https://www.perdu.com/?name=highly%20secret%20information --tls-max 1.2 -http1.1) &# peetch tls --write &
curl (1293232) 208.97.177.124/443 TLS1.2 ECDHE-RSA-AES128-GCM-SHA256
# peetch dump --write traffic.pcapng
^C
# Add the master secret to a PCAPng file
$ editcap --inject-secrets tls,1293232-master_secret.log traffic.pcapng traffic-ms.pcapng

(向右滑动,查看更多

 许可证协议 

本项目的开发与发布遵循GPL-2.0开源许可证协议。

 项目地址 

peetchhttps://github.com/quarkslab/peetch

参考资料:

https://github.com/iovisor/bcc
https://github.com/secdev/scapy

精彩推荐


文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651189318&idx=4&sn=cf0b0a1bfcb842e233d893cbe9ea10fc&chksm=bd1e62cd8a69ebdba7e4ea045488d53b6732ebcc15113fef618d4c7fe6b0ac04b8571e40ca2e#rd
如有侵权请联系:admin#unsafe.sh