So entschlüsseln SSL Sie mit Chrome oder Firefox und Wireshark in Linux
42686
Created On 07/11/22 21:23 PM - Last Modified 10/16/24 23:57 PM
Objective
Erfassen Sie SSL Sitzungsschlüssel aus verschlüsseltem Webbrowsing oder anderem Webanwendungsverkehr in Chrome oder Firefox und verwenden Sie diese, um Paketerfassungen in Wireshark zu entschlüsseln.
Environment
- Linux
- Chrome 85 oder neuer oder Firefox 81 oder neuer
- Wireshark 3.2.7 oder neuer
- SSL/ TLS Sitzungen mit , oder RSA DHE ECDHE Schlüsselaustauschalgorithmen.
Procedure
1. Schließen Sie Chrome oder Firefox vollständig. Stellen Sie sicher, dass alle Instanzen geschlossen sind.
2. Öffnen Sie ein Terminalfenster und legen Sie die SSLKEYLOGFILE Umgebungsvariable mit dem folgenden Befehl fest.
export SSLKEYLOGFILE="/home/$USER/sslkey.log"
Schließen Sie das Terminalfenster nicht. |
3. Starten Sie Wireshark oder tcpdump und starten Sie die Paketerfassung.
4.Starten Sie Chrome oder Firefox über das Terminalfenster, das zum Festlegen der Umgebungsvariablen in Schritt 2 verwendet wurde. (Die Umgebungsvariable wird nur für diese bestimmte Terminalsitzung festgelegt.)
Für Chrome: chromium-browser &Für Firefox:
Firefox &
5.Verwenden Sie das Terminal, um zu überprüfen, ob die Datei sslkey.log erstellt wurde.
Datei /home/$USER/sslkey.log Die erwartete Ausgabe, wenn die Datei ordnungsgemäß erstellt wird, lautet:/home/user1/sslkey.log
:
ASCII text
6. Navigieren Sie zur Website oder Webanwendung, die getestet wird, und führen Sie alle Aktionen aus, die erfasst werden müssen.
In unserem Beispiel laden wir die Malware-Testdatei von der EICAR sicheren Website herunter.
7. Überprüfen Sie Wireshark, um zu bestätigen, dass die Aktivität ordnungsgemäß erfasst wurde, und stoppen Sie die Erfassung.
8. Gehen Sie in Wireshark zu [ Edit > Preferences > Protocols > SSL ]. Wählen Sie unter (Pre)-Master-Secret-Protokolldateiname die in Schritt 5 erstellte sslkey.log Datei aus, und klicken Sie auf OK.
9. Die entschlüsselte Paketerfassung wird in Wireshark angezeigt.
10. (Optional) Folgen Sie dem HTTP Stream, um den entschlüsselten Inhalt zu visualisieren.
Anmerkung 1: Dieser Artikel dient nur zu Informationszwecken. Palo Alto Networks unterstützt keine Betriebssysteme von Drittanbietern.
Additional Information
Es gibt derzeit keine Möglichkeit, die entschlüsselten Paketerfassungen aus Wireshark im Format zu PCAP exportieren, es gibt jedoch drei Optionen:
- Teilen Sie die PCAP Datei zusammen mit dem entsprechenden sslkey.log Datei für den beabsichtigten Empfänger.
- PDU Export der entschlüsselten Daten:
Speichern Sie die resultierende Ausgabe in einer PCAPNG Datei.
- Folgen Sie dem Entschlüsselten HTTP Stream (Schritt 10), wählen Sie "Daten anzeigen und speichern unter": ASCIIund wählen Sie dann "Speichern unter... ". Dadurch wird die gedruckte Streamausgabe in einer Klartextdatei gespeichert.