Cómo descifrar SSL usando Chrome o Firefox y Wireshark en Windows

Cómo descifrar SSL usando Chrome o Firefox y Wireshark en Windows

100556
Created On 10/10/20 05:11 AM - Last Modified 11/01/21 21:11 PM


Objective


Captura SSL claves de sesión de navegación web cifrada u otro tráfico de aplicaciones web en Chrome o Firefox y úsalo para descifrar capturas de paquetes en Wireshark.

Environment


  • Windows 7 o Windows 10
  • Chrome 85 o posterior, o Firefox 81 o posterior
  • Wireshark 3.2.7 o posterior
  • SSL/ TLS sesiones utilizando RSA DHE ECDHE algoritmos de intercambio de claves.

Procedure


1. Cierre Chrome o Firefox por completo. Asegúrese de que todas las instancias están cerradas.

2. Abra el menú Inicio y escriba env, seleccione "Editar variables de entorno para su cuenta".
Abrir: edite las variables de entorno de su cuenta.

3. En la ventana "Variables de entorno", en "Variables de usuario para %user%", haga clic en "New...".
Variables de usuario para %user%, haga clic en Nuevo...

4. En la ventana "Nueva variable de usuario" escriba:
Nombre de variable: SSLKEYLOGFILE
Valor variable: % USERPROFILE %\Desktop\sslkey.log
Nombre de variable: SSLKEYLOGFILE , Valor variable: % USERPROFILE %\Desktop\sslkey.log

5. Haga clic OK para aceptar la entrada "Nueva variable de usuario" y para aceptar y cerrar la nueva ventana OK

"Variable de entorno". 6. Inicie Wireshark e inicie la captura de paquetes.

7. Inicie Chrome o Firefox y compruebe que se ha creado el archivo sslkey.log.
Inicie Chrome o Firefox y compruebe que se ha creado el archivo sslkey.log.

8. Vaya al sitio web o a la aplicación web que se está probando y ejecute todas las acciones que deben capturarse. 

En nuestro ejemplo descargamos el archivo de prueba de malware desde el EICAR sitio seguro. 
Ejemplo: Descargue EICAR el archivo de prueba desde su sitio seguro (https).

9. Marque la captura del paquete para la actividad fue recolectada correctamente y detenga la captura.
Captura cifrada recopilada.

20M En Wireshark vaya a [ Editar preferencias de > > protocolos > TLS ]. En (Pre)-Nombre de archivo de registro de secreto maestro, seleccione el archivo sslkey.log creado en el paso 7 y haga clic en OK .
Agregue sslkey.log al (Pre)-Master-Secret bajo las preferencias del TLS protocolo.

11. La captura de paquetes descifrado se muestra en Wireshark.
Se presenta la captura descifrada.

12. (Opcional) Siga la HTTP secuencia para visualizar el contenido descifrado.
Siga la secuencia descifrada. HTTP

Additional Information


Actualmente no hay manera de exportar las capturas de paquetes descifradas de Wireshark en PCAP formato, sin embargo, hay tres opciones:
  • Comparta el PCAP archivo junto con su archivo sslkey.log correspondiente al destinatario previsto.
  • PDU Exportación de los datos descifrados:
Para exportar los descifrados PDU vaya a Archivo > Exportar PDU 's a Archivo > Capa OSI 4 o Capa OSI 7.
Guarde la salida resultante en un PCAPNG archivo.
  • Siga la secuencia Descifrada HTTP (Paso 12), seleccione "Mostrar y guardar datos como": ASCII y, a continuación, seleccione "Guardar como...". Esto guardará la salida de la secuencia impresa en un archivo de texto sin cifrar.

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HB8gCAG&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language