У меня есть пакет, зашифрованный с помощью TLS в файле .pcap. У меня также есть закрытый ключ в файле .priv. Как я могу расшифровать файл .pcap, используя Wireshark? Я пытался идти редактировать -> настройки -> протоколы -> ssl -> редактировать -> новый, но я не уверен, что ввести для IP-адрес, порт? Как я могу отобразить соответствующий пакет в Wireshark, чтобы узнать порт и IP-адрес? Это правильный способ расшифровки файла .pcap в Wireshark с помощью закрытого ключа? Пожалуйста, помогите! Спасибо!
1 ответ
1
Я сам этого не делал, но после поиска в Google я нашел этот урок. Вам не нужно делать каждый шаг, перейдите прямо к "части https расшифровки":
http://blog.stalkr.net/2010/03/codegate-decrypting-https-ssl-rsa-768.html
Тем не менее я добавлю соответствующую информацию:
Расшифровать https
Откройте файл настроек Wireshark: в Linux: ~/.wireshark/предпочтения в Windows: C:\Documents and Settings\\ Данные приложения \ Wireshark \ предпочтения
Сообщите Wireshark, что вы хотите, чтобы он десегментировал записи SSL и данные приложения, и дайте ему частный сертификат для сервера https, который мы наблюдали (192.168.100.4):
ssl.desegment_ssl_records: TRUE ssl.desegment_ssl_application_data: TRUE ssl.keys_list: 192.168.100.4,443,http,/home/stalkr/codegate/7/private.pemИсправьте путь к закрытому сертификату соответственно, в Windows используйте обычные слэши /.
Снова запустите Wireshark и откройте файл захвата. Теперь мы можем видеть данные приложения: HTTP-запрос GET к index.html и ответ, содержащий флаг.
Посмотрите и дайте нам знать.
Примечание. Вся эта информация принадлежит блогу StalkR, и я добавил ее для удобства. Рассмотрите посещение полной записи в блоге, так как он может добавить некоторые дополнительные шаги.