Usando o Wireshark para descriptografar o arquivo criptografado com chave privada

3

Eu tenho um pacote criptografado com TLS em um arquivo .pcap. Eu também tenho a chave privada em um arquivo .priv. Como posso descriptografar o arquivo .pcap usando o Wireshark? Eu tentei editar - > preferências - > protocolos - > ssl - > editar - > novo, mas não tenho certeza o que digitar para o endereço IP, porta? Como posso exibir o pacote correspondente no Wireshark para descobrir a porta e o endereço IP? Este é o caminho certo para descriptografar o arquivo .pcap no Wireshark usando a chave privada? Pls ajuda! Obrigado!

    
por user37375 21.01.2014 / 07:49

1 resposta

1

Eu não fiz isso sozinho, mas depois de uma pesquisa no Google eu encontrei este tutorial. Você não precisa fazer todos os passos, vá direto para a "parte https descriptografada":

link

Vou adicionar as informações relevantes, no entanto:

Decrypt https

Open Wireshark preferences file: on Linux: ~/.wireshark/preferences on Windows: C:\Documents and Settings\Application Data\Wireshark\preferences

Inform Wireshark that you want it to desegment SSL records and application data, and give it the private certificate for the https server we observed (192.168.100.4):

ssl.desegment_ssl_records: TRUE ssl.desegment_ssl_application_data:
TRUE ssl.keys_list:
192.168.100.4,443,http,/home/stalkr/codegate/7/private.pem

Fix the path to private certificate accordingly, on Windows use regular slashes /.

Again, launch Wireshark and open the capture file. We can now see the application data: an HTTP GET request to index.html, and the response containing the flag. Blockquote

Dê uma olhada e nos conte.

Nota: Toda esta informação pertence ao " Blog do StalkR " e eu adicionei aqui para conviniência . Considere visitar a entrada completa do blog, pois ele pode adicionar algumas etapas extras.

    
por 21.01.2014 / 09:29

Tags