So entschlüsseln Sie SSL mit Chrome oder Firefox und Wireshark in macOS
50596
Created On 04/27/21 00:18 AM - Last Modified 01/03/25 15:19 PM
Objective
Erfassen Sie SSL Sitzung aus verschlüsseltem Webbrowser- oder anderem Web- Anwendung in Chrome oder Firefox und verwenden Sie diese zum Entschlüsseln von Paketerfassungen in Wireshark.
Environment
- macOS 10.15 oder neuer
- Chrome 85 oder neuer, bzw. Firefox 81 oder neuer
- Wireshark 3.2.7 oder neuer
- SSL/TLS Sitzungen mit RSA-, DHE- oder ECDHE-Schlüsselaustauschalgorithmen.
Procedure
1. Schließen Sie Chrome oder Firefox vollständig. Stellen Sie sicher, dass alle Instanzen mithilfe der Option „Sofort beenden“ geschlossen sind (klicken Sie mit der rechten Maustaste auf das Symbol des Webbrowsers unten im Anwendungsdock, halten Sie die Wahltaste gedrückt und wählen Sie „Sofort beenden“).
2. Öffnen Sie ein Terminalfenster und legen Sie die Umgebungsvariable SSLKEYLOGFILE mit dem folgenden Befehl fest.
exportiere SSLKEYLOGFILE="/Benutzer/$USER/sslkey.log"
| Schließen Sie das Terminalfenster nicht. |
3. Starten Sie Wireshark und beginnen Sie mit der Packet Capture (Paketdatenaufzeichnung, PCAP).
4. Starten Sie Chrome oder Firefox über das Terminalfenster, das zum Festlegen der Umgebungsvariable in Schritt 2 verwendet wurde. (Die Umgebungsvariable wird nur für diese bestimmte Sitzung festgelegt.)
Für Chrome:
öffnen Sie App
Für Firefox:
Öffnen Sie App
5. Überprüfen Sie mithilfe des Terminals, ob die Datei sslkey.log erstellt wurde.
Datei /Users/$USER/sslkey.log
Wenn die Datei ordnungsgemäß erstellt wurde, lautet die erwartete Ausgabe:
/Benutzer/Benutzer1/sslkey.log: ASCII-Text
6. Navigieren Sie zu der Website oder Anwendung , die getestet wird, und führen Sie alle Aktionen aus, die erfasst werden müssen.
In unserem Beispiel laden wir die Malware Testdatei von der sicheren Site von EICAR herunter.
7. Überprüfen Sie in Wireshark, ob die Aktivität ordnungsgemäß erfasst wurde, und stoppen Sie die erfassen.
8. Gehen Sie in Wireshark zu [ Einstellungen > Protokolle > TLS ]. Wählen Sie unter (Pre)-Master-Secret-Protokolldateiname die in Schritt 5 erstellte Datei sslkey.log aus und klicken Sie auf OK.
9. Die entschlüsselte Packet Capture (Paketdatenaufzeichnung, PCAP) wird in Wireshark angezeigt.
10. (Optional) Folgen Sie dem HTTP Stream, um den entschlüsselten Inhalt zu visualisieren.
Hinweis 1 : Die Schritte können sich ändern, wenn MAC OS oder Chrome aktualisiert wird.
Hinweis 2: Dieser Artikel dient nur zu Informationszwecken. Palo Alto Networks unterstützt keine Betriebssysteme von Drittanbietern.
Additional Information
Verwenden Sie tshark, um Pakete zu entschlüsseln und zu exportieren
Derzeit gibt es keine Möglichkeit, die entschlüsselten Paketerfassungen von Wireshark im PCAP-Format zu exportieren. Diese Aufgabe kann jedoch mit tshark erledigt werden, dem Befehlszeilen-Gegenstück zu Wireshark. Damit können Sie die entschlüsselten Daten extrahieren und speichern.
-
Stellen Sie sicher, dass Sie die (Pre)-Master-Secret-Schlüssel zur Verfügung haben .
-
Run
tsharkwith the TLS key log and appropriate decryption settings:tshark -r original.pcap -o tls.keylog_file:/path/to/your/tls_keys.log -o tls.desegment_ssl_records:TRUE -o tls.desegment_ssl_application_data:TRUE -w decrypted.pcap-r original.pcap: Your original PCAP file with encrypted TLS packets.-o tls.keylog_file: Path to your TLS key log file.-o tls.desegment_ssl_records: Ensures proper segmentation of SSL/TLS records.-o tls.desegment_ssl_application_data: Ensures the SSL/TLS application data is properly reassembled.
The
-w decrypted.pcapflag will write the decrypted packets to a new output file.