[原创]自己编译解决eCapture在x86_64模拟器运行错误（基于eBPF技术实现TLS加密的明文捕获，无需CA证书）

2022-11-15 21:41 8617

[原创]自己编译解决eCapture在x86_64模拟器运行错误（基于eBPF技术实现TLS加密的明文捕获，无需CA证书）

westinyang 活跃值

2022-11-15 21:41

8617

关于eCapture

eCapture是ehids开发的一个基于eBPF技术实现TLS加密的明文捕获、无需CA证书的工具

爬坑之路

环境：Windows 10；eCapture v0.4.8

最近看到eCapture这个项目比较感兴趣
但是安卓设备的内核版本只有在5.10版本上才可以进行无任何修改的开箱抓包操作
我目前手上的测试机都是老古董了，什么小米6、Pixel 1代，看了下内核最高的也就到4.4 查看内核版本：adb shell cat /proc/version
看到官方教程中提到了使用AS模拟器 Android 12 的知乎APP抓包
于是使用 Android Studio 创建模拟器：Pixel 5 API 31 (Android 12 x86_64)
1
2
3
4
5
6
adb push ecapture /data/local/tmp/
adb root
adb shell
cd /data/local/tmp
chmod 777 ecapture
./ecapture tls

结果出现如下错误 module run failed, ... couldn't edit target_port in probe_ret_SSL_read

emulator64_x86_64_arm64:/data/local/tmp # ./ecapture tls
tls_2022/11/15 09:34:24 ECAPTURE :: ecapture Version : androidgki_x86_64:0.4.8-20221105-078f180:5.15.0-1022-azure
tls_2022/11/15 09:34:24 ECAPTURE :: Pid Info : 7397
tls_2022/11/15 09:34:24 ECAPTURE :: Kernel Info : 5.10.110
tls_2022/11/15 09:34:24 EBPFProbeOPENSSL        module initialization
tls_2022/11/15 09:34:24 EBPFProbeOPENSSL        master key keylogger: ecapture_masterkey.log
tls_2022/11/15 09:34:24 EBPFProbeOPENSSL        Module.Run()
tls_2022/11/15 09:34:24 EBPFProbeOPENSSL        UPROBE MODEL
tls_2022/11/15 09:34:24 EBPFProbeOPENSSL        OpenSSL/BoringSSL version not found, used default version :android_default
tls_2022/11/15 09:34:24 EBPFProbeOPENSSL        HOOK type:2, binrayPath:/apex/com.android.conscrypt/lib64/libssl.so
tls_2022/11/15 09:34:24 EBPFProbeOPENSSL        libPthread so Path:/apex/com.android.runtime/lib64/bionic/libc.so
tls_2022/11/15 09:34:24 EBPFProbeOPENSSL        target all process.
tls_2022/11/15 09:34:24 EBPFProbeOPENSSL        target all users.
tls_2022/11/15 09:34:24 EBPFProbeOPENSSL        BPF bytecode filename:user/bytecode/boringssl_1_1_1_kern.o
tls_2022/11/15 09:34:24 EBPFProbeOPENSSL        module run failed, [skip it]. error:couldn't init manager error:with the asm method, the constant value has to be of type uint64 , couldn't edit target_port in probe_ret_SSL_read
tls_2022/11/15 09:34:24 EBPFProbeGNUTLS module initialization
tls_2022/11/15 09:34:24 EBPFProbeGNUTLS Module.Run()
tls_2022/11/15 09:34:24 EBPFProbeGNUTLS BPF bytecode filename:user/bytecode/gnutls_kern.o
tls_2022/11/15 09:34:24 EBPFProbeGNUTLS module run failed, [skip it]. error:tls(gnutls) module couldn't find binPath stat /apex/com.android.conscrypt/lib64/libgnutls: no such file or directory
tls_2022/11/15 09:34:24 EBPFProbeNSPR   module initialization
tls_2022/11/15 09:34:24 EBPFProbeNSPR   Module.Run()
tls_2022/11/15 09:34:24 EBPFProbeNSPR   BPF bytecode filename:user/bytecode/nspr_kern.o
tls_2022/11/15 09:34:24 EBPFProbeNSPR   module run failed, [skip it]. error:tls module couldn't find binPath stat /apex/com.android.conscrypt/lib64/libnspr4.so: no such file or directory
tls_2022/11/15 09:34:24 EBPFProbeGoSSL  module [disabled].
tls_2022/11/15 09:34:24 ECAPTURE ::     No runnable modules, Exit(1)

后来了解到，导致这个错误的bug已经被修复，只是没有发布新的版本，暂时只能自己编译才能用上了

编译之路

环境：Ubuntu 20.04

配置 Golang

mkdir ~/env && cd ~/env
wget https://dl.google.com/go/go1.17.13.linux-amd64.tar.gz
tar xvf go1.17.13.linux-amd64.tar.gz
vim ~/.bashrc
# ----- 追加内容 -----
export GO111MODULE=on
export GOPROXY=https://goproxy.cn
export GOROOT=${HOME}/env/go
export GOPATH=${HOME}/go
export PATH=${GOROOT}/bin:${GOPATH}/bin:$PATH
# ----- END -----
source ~/.bashrc

配置 eCapture 编译环境

sudo apt-get update
sudo apt-get install --yes wget git golang build-essential pkgconf libelf-dev llvm-12 clang-12 linux-tools-generic linux-tools-common linux-cloud-tools-generic
for tool in "clang" "llc" "llvm-strip"
do
sudo rm -f /usr/bin/$tool
sudo ln -s /usr/bin/$tool-12 /usr/bin/$tool
done

开始编译

git clone https://github.com/ehids/ecapture.git
cd ecapture
ANDROID=1 make nocore

编译成功之后在bin目录下找到可执行文件 ecapture

再次运行

把编译好的ecapture再次放入手机存储空间并运行

adb push ecapture /data/local/tmp/
adb root
adb shell
cd /data/local/tmp
chmod 777 ecapture
./ecapture tls

运行成功 module started successfully. start 1 modules

emulator64_x86_64_arm64:/data/local/tmp # ./ecapture tls
tls_2022/11/15 12:08:27 ECAPTURE :: ecapture Version : androidgki_x86_64:0.4.8-20221114-9d23001:5.15.0-52-generic
tls_2022/11/15 12:08:27 ECAPTURE :: Pid Info : 7825
tls_2022/11/15 12:08:27 ECAPTURE :: Kernel Info : 5.10.110
tls_2022/11/15 12:08:27 EBPFProbeOPENSSL        module initialization
tls_2022/11/15 12:08:27 EBPFProbeOPENSSL        master key keylogger: ecapture_masterkey.log
tls_2022/11/15 12:08:27 EBPFProbeOPENSSL        Module.Run()
tls_2022/11/15 12:08:27 EBPFProbeOPENSSL        UPROBE MODEL
tls_2022/11/15 12:08:27 EBPFProbeOPENSSL        OpenSSL/BoringSSL version not found, used default version :android_default
tls_2022/11/15 12:08:27 EBPFProbeOPENSSL        HOOK type:2, binrayPath:/apex/com.android.conscrypt/lib64/libssl.so
tls_2022/11/15 12:08:27 EBPFProbeOPENSSL        libPthread so Path:/apex/com.android.runtime/lib64/bionic/libc.so
tls_2022/11/15 12:08:27 EBPFProbeOPENSSL        target all process.
tls_2022/11/15 12:08:27 EBPFProbeOPENSSL        target all users.
tls_2022/11/15 12:08:27 EBPFProbeOPENSSL        BPF bytecode filename:user/bytecode/boringssl_1_1_1_kern.o
tls_2022/11/15 12:08:27 EBPFProbeOPENSSL        module started successfully.
tls_2022/11/15 12:08:27 EBPFProbeGNUTLS module initialization
tls_2022/11/15 12:08:27 EBPFProbeGNUTLS Module.Run()
tls_2022/11/15 12:08:27 EBPFProbeGNUTLS BPF bytecode filename:user/bytecode/gnutls_kern.o
tls_2022/11/15 12:08:27 EBPFProbeGNUTLS module run failed, [skip it]. error:tls(gnutls) module couldn't find binPath stat /apex/com.android.conscrypt/lib64/libgnutls: no such file or directory
tls_2022/11/15 12:08:27 EBPFProbeNSPR   module initialization
tls_2022/11/15 12:08:27 EBPFProbeNSPR   Module.Run()
tls_2022/11/15 12:08:27 EBPFProbeNSPR   BPF bytecode filename:user/bytecode/nspr_kern.o
tls_2022/11/15 12:08:27 EBPFProbeNSPR   module run failed, [skip it]. error:tls module couldn't find binPath stat /apex/com.android.conscrypt/lib64/libnspr4.so: no such file or directory
tls_2022/11/15 12:08:27 EBPFProbeGoSSL  module [disabled].
tls_2022/11/15 12:08:27 ECAPTURE ::     start 1 modules

接下来准备进一步测试抓包效果，不过模拟器都话很多app可能装不了，有待尝试...

写在最后

我把编译好的文件以附件的形式提交，懒得编译的童靴可以直接下载食用

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界

最后于 2022-11-15 22:15 被westinyang编辑，原因：

#工具脚本 #源码框架

上传的附件：

ecapture-v20221115-android-x86_64_nocore.zip （3.53MB，82次下载）

收藏・12

点赞・4

打赏

最新回复 (10)
fjqisba 雪币： 4016 活跃值： (5833) 能力值： ( LV7，RANK：102 ) 在线值：发帖 16 回帖 231 粉丝 43 关注私信	fjqisba 2022-11-15 22:52 2 楼 0 卧槽，证书都不要了
westinyang 雪币： 710 活跃值： (1488) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 17 粉丝 12 关注私信	westinyang 2022-11-15 23:04 3 楼 0 fjqisba 卧槽，证书都不要了[em_4] 感觉挺强的，最近刚了解到这个项目，无奈手上没有较新的Pixel设备，无法在真机上测试体验了...
mb_foyotena 雪币： 477 活跃值： (1412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 320 粉丝 10 关注私信	mb_foyotena 2022-11-16 09:51 4 楼 0 westinyang 感觉挺强的，最近刚了解到这个项目，无奈手上没有较新的Pixel设备，无法在真机上测试体验了... ssl只能防中间人, 这是直接在发起方hook ssl库了, 当然不用证书
westinyang 雪币： 710 活跃值： (1488) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 17 粉丝 12 关注私信	westinyang 2022-11-16 11:26 5 楼 0 mb_foyotena ssl只能防中间人, 这是直接在发起方hook ssl库了, 当然不用证书嗯，大概知道原理，也有弊端，比如flutter这类的app，就不能用这种方式抓了
xtaichi 雪币： 201 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	xtaichi 2022-11-17 17:06 6 楼 0 Nice~
huluxia 雪币： 1486 活跃值： (1990) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 208 粉丝 2 关注私信	huluxia 2022-11-18 21:45 7 楼 0 顶大佬，大佬的所有文章看了都有收获。
westinyang 雪币： 710 活跃值： (1488) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 17 粉丝 12 关注私信	westinyang 2022-11-19 16:32 8 楼 0 huluxia 顶大佬，大佬的所有文章看了都有收获。过奖了，互相学习 :D
westinyang 雪币： 710 活跃值： (1488) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 17 粉丝 12 关注私信	westinyang 2022-11-19 16:43 9 楼 1 最新消息，项目作者也比较积极，刚刚发布了新版v0.4.9，已经修复了这个bug，这篇文章全当是一个编译指南了。后续可以使用官方发布的版本，https://github.com/ehids/ecapture/releases/tag/v0.4.9
CFCCN 雪币： 217 活跃值： (89) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 4 关注私信	CFCCN 2022-11-19 23:31 10 楼 0 666
huluxia 雪币： 1486 活跃值： (1990) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 208 粉丝 2 关注私信	huluxia 2022-11-20 01:32 11 楼 0 CFCCN [em_63] 666 作者本人都来支持了
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

westinyang

发帖

回帖

RANK

关注

私信

他的文章

[原创]自己编译解决eCapture在x86_64模拟器运行错误（基于eBPF技术实现TLS加密的明文捕获，无需CA证书）

[原创]Flutter概述和逆向技术发展时间线，带你快速了解

[原创]Unpacker Panel：基于Youpk脱壳机的一键脱壳Web面板

关于我们

联系我们

企业服务

看雪公众号

最新回复 (10)
fjqisba 雪币： 4016 活跃值： (5833) 能力值： ( LV7，RANK：102 ) 在线值：发帖 16 回帖 231 粉丝 43 关注私信	fjqisba 2022-11-15 22:52 2 楼 0 卧槽，证书都不要了
westinyang 雪币： 710 活跃值： (1488) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 17 粉丝 12 关注私信	westinyang 2022-11-15 23:04 3 楼 0 fjqisba 卧槽，证书都不要了[em_4] 感觉挺强的，最近刚了解到这个项目，无奈手上没有较新的Pixel设备，无法在真机上测试体验了...
mb_foyotena 雪币： 477 活跃值： (1412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 320 粉丝 10 关注私信	mb_foyotena 2022-11-16 09:51 4 楼 0 westinyang 感觉挺强的，最近刚了解到这个项目，无奈手上没有较新的Pixel设备，无法在真机上测试体验了... ssl只能防中间人, 这是直接在发起方hook ssl库了, 当然不用证书
westinyang 雪币： 710 活跃值： (1488) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 17 粉丝 12 关注私信	westinyang 2022-11-16 11:26 5 楼 0 mb_foyotena ssl只能防中间人, 这是直接在发起方hook ssl库了, 当然不用证书嗯，大概知道原理，也有弊端，比如flutter这类的app，就不能用这种方式抓了
xtaichi 雪币： 201 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	xtaichi 2022-11-17 17:06 6 楼 0 Nice~
huluxia 雪币： 1486 活跃值： (1990) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 208 粉丝 2 关注私信	huluxia 2022-11-18 21:45 7 楼 0 顶大佬，大佬的所有文章看了都有收获。
westinyang 雪币： 710 活跃值： (1488) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 17 粉丝 12 关注私信	westinyang 2022-11-19 16:32 8 楼 0 huluxia 顶大佬，大佬的所有文章看了都有收获。过奖了，互相学习 :D
westinyang 雪币： 710 活跃值： (1488) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 17 粉丝 12 关注私信	westinyang 2022-11-19 16:43 9 楼 1 最新消息，项目作者也比较积极，刚刚发布了新版v0.4.9，已经修复了这个bug，这篇文章全当是一个编译指南了。后续可以使用官方发布的版本，https://github.com/ehids/ecapture/releases/tag/v0.4.9
CFCCN 雪币： 217 活跃值： (89) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 4 关注私信	CFCCN 2022-11-19 23:31 10 楼 0 666
huluxia 雪币： 1486 活跃值： (1990) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 208 粉丝 2 关注私信	huluxia 2022-11-20 01:32 11 楼 0 CFCCN [em_63] 666 作者本人都来支持了
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复