Wie man SSL mit Chrome oder Firefox und Wireshark in Windows entschlüsselt
126169
Created On 10/10/20 05:11 AM - Last Modified 10/16/24 23:55 PM
Objective
Erfassen Sie SSL Sitzungsschlüssel aus verschlüsseltem Webbrowsing oder anderem Webanwendungsverkehr in Chrome oder Firefox und verwenden Sie diese, um Paketerfassungen in Wireshark zu entschlüsseln.
Environment
- Windows 7 oder Windows 10
- Chrome 85 oder neuer oder Firefox 81 oder neuer
- Wireshark 3.2.7 oder neuer
- SSL/ TLS Sitzungen mit , oder RSA DHE ECDHE Schlüsselaustauschalgorithmen.
Procedure
1. Schließen Sie Chrome oder Firefox vollständig. Stellen Sie sicher, dass alle Instanzen geschlossen sind.
2. Öffnen Sie das Startmenü, und geben Sie envein, wählen Sie "Umgebungsvariablen für Ihr Konto bearbeiten" aus.
3. Klicken Sie im Fenster "Umgebungsvariablen" unter "Benutzervariablen für %Benutzer%", auf "Neu...".
4. Geben Sie im Fenster "Neue Benutzervariable" ein:
Variablenname: SSLKEYLOGFILE
Variabler Wert: % USERPROFILE , Desktop.log
5. Klicken Sie OK hier, um den Eintrag "Neue Benutzervariable" zu akzeptieren und OK das neue Fenster "Umgebungsvariable" zu akzeptieren und zu schließen.
6. Starten Sie Wireshark, und starten Sie die Paketerfassung.
7. Starten Sie Chrome oder Firefox, und stellen Sie sicher, dass die Datei sslkey.log erstellt wurde.
8. Navigieren Sie zur Website oder Webanwendung, die getestet wird, und führen Sie alle Aktionen aus, die erfasst werden müssen.
In unserem Beispiel laden wir die Malware-Testdatei von der EICAR sicheren Website herunter.
9. Überprüfen Sie, ob die Paketerfassung ordnungsgemäß erfasst wurde, und beenden Sie die Erfassung.
10. Gehen Sie in Wireshark zu [>-Einstellungen bearbeiten > Protokolle > TLS ]. Wählen Sie unter (Pre)-Master-Secret-Protokolldateiname die sslkey.log-Datei aus, die in Schritt 7 erstellt wurde, und klicken Sie auf OK .
11. Die entschlüsselte Paketerfassung wird in Wireshark angezeigt.
12. (Optional) Folgen Sie dem HTTP Stream, um den entschlüsselten Inhalt zu visualisieren.
Additional Information
Es gibt derzeit keine Möglichkeit, die entschlüsselten Paketerfassungen aus Wireshark im Format zu PCAP exportieren, es gibt jedoch drei Optionen:
- Teilen Sie die PCAP Datei zusammen mit dem entsprechenden sslkey.log Datei für den beabsichtigten Empfänger.
- PDU Export der entschlüsselten Daten:
Um die entschlüsselten PDU zu exportieren, gehen Sie zu Datei > Export PDU in Datei > Layer 4 oder Layer OSI OSI 7.
Speichern Sie die resultierende Ausgabe in einer PCAPNG Datei.
Speichern Sie die resultierende Ausgabe in einer PCAPNG Datei.
- Folgen Sie dem entschlüsselten HTTP Stream (Schritt 12), wählen Sie "Daten anzeigen und speichern als": ASCII , und wählen Sie dann "Speichern unter...". Dadurch wird die gedruckte Streamausgabe in einer Klartextdatei gespeichert.