SSLWindowsでクロムやFirefoxとワイヤーシャークを使用して復号化する方法
100558
Created On 10/10/20 05:11 AM - Last Modified 11/01/21 21:11 PM
Objective
SSLChrome または Firefox で暗号化された Web ブラウジングや他のウェブアプリケーショントラフィックからセッションキーをキャプチャし、Wireshark でパケットキャプチャを復号化するために使用します。
Environment
- ウィンドウズ7またはウィンドウズ10
- クロム 85 以降、または Firefox 81 以降
- ワイヤーシャーク 3.2.7 以降
- SSL/ TLS セッション RSA を使用して、 DHE または ECDHE キー交換アルゴリズムを使用します。
Procedure
1. クロームまたはファイアフォックスを完全に閉じます。 すべてのインスタンスが閉じられていることを確認します。
2. [スタート] メニューを開き、「 env」と入力し、[アカウントの環境変数を編集する] を選択します。
3. [環境変数] ウィンドウの [%user%のユーザー変数] で 、[新規.
4. 「新規ユーザー変数」ウィンドウで次のように入力します:
変数名: SSLKEYLOGFILE
変数値: USERPROFILE %\デスクトップ\sslkey.log
5。 OKクリックすると、[新しいユーザー変数] エントリ OK を受け入れ、新しい [環境変数] ウィンドウを受け入れて閉じます。
6. Wireshark を起動し、パケット キャプチャを開始します。
7. Chrome または Firefox を起動し、sslkey.log ファイルが作成されていることを確認します。
8. テスト対象の Web サイトまたは Web アプリケーションを参照し、キャプチャする必要があるすべてのアクションを実行します。
この例では、 EICAR セキュリティで保護されたサイトからマルウェア テスト ファイルをダウンロードします。
9. アクティビティが正しく収集されたパケット キャプチャを確認し、キャプチャを停止します。
10. Wireshark で、[>の基本設定>プロトコル TLS >] に移動します。 (Pre)マスターシークレットログファイル名で、ステップ7で作成したsslkey.logファイルを選択し、をクリック OK します。
11. 復号化されたパケット キャプチャは Wireshark に表示されます。
12. (オプション)ストリームに従って HTTP 、復号化されたコンテンツを視覚化します。
Additional Information
現在、暗号化解除されたパケット キャプチャを Wireshark からフォーマットでエクスポートする方法はありませんが PCAP 、次の 3 つのオプションがあります。
- ファイルを PCAP 対応する sslkey.log ファイルと共に、目的の受信者と共有します。
- PDU 復号化されたデータのエクスポート:
復号化された PDU のをエクスポートするには、ファイル>エクスポートのファイル PDU >レイヤ 4 OSI またはレイヤ 7 に移動 OSI します。
結果の出力をファイルに保存 PCAPNG します。
結果の出力をファイルに保存 PCAPNG します。
- 復号化されたストリーム HTTP (手順 12) に従って、[データを表示して次の名前で保存する] を選択 ASCII し、[名前を付けて保存..] を選択します。 これにより、印刷されたストリーム出力がクリア テキスト ファイルに保存されます。