Closed NPC2000 closed 1 day ago
ERR SSLDataEvent's fd is 0 address= fd=0 pid=354
这个报错不影响使用,只是无法匹配到当前网络包对应的IP、PORT信息。
或者你可以使用pcapng
模式
This error does not affect usage; it simply means that the IP and PORT information corresponding to the current network packet cannot be matched. Alternatively, you can use the pcapng
mode.
ERR SSLDataEvent's fd is 0 address= fd=0 pid=354
这个报错不影响使用,只是无法匹配到当前网络包对应的IP、PORT信息。
或者你可以使用
pcapng
模式This error does not affect usage; it simply means that the IP and PORT information corresponding to the current network packet cannot be matched. Alternatively, you can use the
pcapng
mode.此错误不会影响使用;它仅仅意味着当前网络数据包对应的 IP 和 PORT 信息无法匹配。或者,您可以使用pcapng
模式。
大佬,高版本内核是没法用ecapture 抓 https了吗?
请提供无法抓包的例子。
请提供无法抓包的例子。
在一加ace3v( 6.1.57-android14-11-o-g1e5dcecb337f)手机上运行./ecapture tls,打开任意一个app都不会显示https的数据包
确认一下 hook的链接库是不是你app使用的吧。
确定后,通过libssl
参数指定,再试试。
确认一下 hook的链接库是不是你app使用的吧。
确定后,通过
libssl
参数指定,再试试。
大佬我这样尝试还是没有
OP5CFBL1:/data/local/tmp # ps -e | grep "bin.mt.plus"
u0_a334 32285 1540 7981764 311976 __arm64_sys_epoll_pwait 0 S bin.mt.plus
OP5CFBL1:/data/local/tmp # cat /proc/32285/maps | grep "libssl"
7461440000-746145f000 r--p 00000000 07:130 166 /apex/com.android.conscrypt/lib64/libssl.so
746145f000-746149d000 r-xp 0001f000 07:130 166 /apex/com.android.conscrypt/lib64/libssl.so
746149d000-74614a0000 r--p 0005d000 07:130 166 /apex/com.android.conscrypt/lib64/libssl.so
74614a0000-74614a1000 rw-p 0005f000 07:130 166 /apex/com.android.conscrypt/lib64/libssl.so
OP5CFBL1:/data/local/tmp # lsof -p 32285 | grep ssl
bin.mt.plus 32285 u0_a334 mem REG 7,304 401632 166 /apex/com.android.conscrypt/lib64/libssl.so
OP5CFBL1:/data/local/tmp # ./ecapture tls -p 32285 --libssl /apex/com.android.conscrypt/lib64/libssl.so
2024-09-15T04:35:50Z INF AppName="eCapture(旁观者)"
2024-09-15T04:35:50Z INF HomePage=https://ecapture.cc
2024-09-15T04:35:50Z INF Repository=https://github.com/gojue/ecapture
2024-09-15T04:35:50Z INF Author="CFC4N <cfc4ncs@gmail.com>"
2024-09-15T04:35:50Z INF Description="Capturing SSL/TLS plaintext without a CA certificate using eBPF. Supported on Linux/Android kernels for amd64/arm64."
2024-09-15T04:35:50Z INF Version=androidgki_arm64:v0.8.6:6.5.0-1025-azure
2024-09-15T04:35:50Z INF Listen=localhost:28256
2024-09-15T04:35:50Z INF eCapture running logs logger=
2024-09-15T04:35:50Z INF the file handler that receives the captured event eventCollector=
2024-09-15T04:35:50Z WRN ========== module starting. ==========
2024-09-15T04:35:50Z INF Kernel Info=6.1.57 Pid=1128
2024-09-15T04:35:50Z WRN Your environment is like a container. We won't be able to detect the BTF configuration.
If eCapture fails to run, try specifying the BTF mode. use `-b 2` to specify non-CORE mode.
2024-09-15T04:35:50Z INF listen=localhost:28256
2024-09-15T04:35:50Z INF BTF bytecode mode: CORE. btfMode=0
2024-09-15T04:35:50Z INF master key keylogger has been set. eBPFProgramType=Text keylogger=
2024-09-15T04:35:50Z INF https server starting...You can update the configuration file via the HTTP interface.
2024-09-15T04:35:50Z INF module initialization. isReload=false moduleName=EBPFProbeOPENSSL
2024-09-15T04:35:50Z INF Module.Run()
2024-09-15T04:35:50Z INF OpenSSL/BoringSSL version found BoringSSL Version=14
2024-09-15T04:35:50Z INF Hook masterKey function ElfType=2 Functions=["SSL_in_init"] binrayPath=/apex/com.android.conscrypt/lib64/libssl.so
2024-09-15T04:35:50Z INF target process. target PID=32285
2024-09-15T04:35:50Z INF target all users.
2024-09-15T04:35:50Z INF setupManagers eBPFProgramType=Text
2024-09-15T04:35:50Z INF BPF bytecode file is matched. bpfFileName=user/bytecode/boringssl_a_14_kern_core.o
2024-09-15T04:35:51Z INF perfEventReader created mapSize(MB)=4
2024-09-15T04:35:51Z INF perfEventReader created mapSize(MB)=4
2024-09-15T04:35:51Z INF module started successfully. isReload=false moduleName=EBPFProbeOPENSSL
不管怎么操作app,点检测更新,刷新用户,下载插件等操作,都不显示https的流量
我的猜测是“这些app大概没有使用系统的so进行加密,只是引入了他们,可能有另外一个在使用的类库”,你可以换个手机验证一下吗?最好是别的型号、别的内核版本。
我的猜测是“这些app大概没有使用系统的so进行加密,只是引入了他们,可能有另外一个在使用的类库”,你可以换个手机验证一下吗?最好是别的型号」别的内核版本。
好的,感谢大佬,我找其他手机试试
我的猜测是“这些app大概没有使用系统的so进行加密,只是引入了他们,可能有另外一个在使用的类库”,你可以换个手机验证一下吗?最好是别的型号、别的内核版本。
大佬,我朋友用pixel 6 可以抓mt的https, 他挂起ecapture,所有app都可以抓。可能是一加的系统或者内核改了些什么东西导致的
这就需要你自己来排查分析了,我暂时没法定制化排查这种小众问题。
这就需要你自己来排查分析了,我暂时没法定制化排查这种小众问题。
好吧, 感谢大佬
Describe the bug 使用命令“./ecapture tls”后只显示http流量,https流量不显示。
To Reproduce Steps to reproduce the behavior:
3.打开任意app(MT管理器,酷安,雨见浏览器...) 控制台界面无任何变化
4.打开app(闲鱼) 可以抓捕http,但是会有这种报错
ERR SSLDataEvent's fd is 0 address= fd=0 pid=354
7.指定libssl,再打开任意app(MT管理器,酷安,雨见浏览器...)
Expected behavior 显示https流量
Screenshots If applicable, add screenshots to help explain your problem.
Linux Server/Android (please complete the following information):
Additional context Add any other context about the problem here.