3

У меня есть пакет, зашифрованный с помощью TLS в файле .pcap. У меня также есть закрытый ключ в файле .priv. Как я могу расшифровать файл .pcap, используя Wireshark? Я пытался идти редактировать -> настройки -> протоколы -> ssl -> редактировать -> новый, но я не уверен, что ввести для IP-адрес, порт? Как я могу отобразить соответствующий пакет в Wireshark, чтобы узнать порт и IP-адрес? Это правильный способ расшифровки файла .pcap в Wireshark с помощью закрытого ключа? Пожалуйста, помогите! Спасибо!

1 ответ1

1

Я сам этого не делал, но после поиска в Google я нашел этот урок. Вам не нужно делать каждый шаг, перейдите прямо к "части https расшифровки":

http://blog.stalkr.net/2010/03/codegate-decrypting-https-ssl-rsa-768.html

Тем не менее я добавлю соответствующую информацию:

Расшифровать https

Откройте файл настроек Wireshark: в Linux: ~/.wireshark/предпочтения в Windows: C:\Documents and Settings\\ Данные приложения \ Wireshark \ предпочтения

Сообщите Wireshark, что вы хотите, чтобы он десегментировал записи SSL и данные приложения, и дайте ему частный сертификат для сервера https, который мы наблюдали (192.168.100.4):

ssl.desegment_ssl_records: TRUE ssl.desegment_ssl_application_data:
TRUE ssl.keys_list:
192.168.100.4,443,http,/home/stalkr/codegate/7/private.pem

Исправьте путь к закрытому сертификату соответственно, в Windows используйте обычные слэши /.

Снова запустите Wireshark и откройте файл захвата. Теперь мы можем видеть данные приложения: HTTP-запрос GET к index.html и ответ, содержащий флаг. Blockquote

Посмотрите и дайте нам знать.

Примечание. Вся эта информация принадлежит блогу StalkR, и я добавил ее для удобства. Рассмотрите посещение полной записи в блоге, так как он может добавить некоторые дополнительные шаги.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .