Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Cómo descifrar SSL usando Chrome o Firefox y Wireshark en Linux - Knowledge Base - Palo Alto Networks

Cómo descifrar SSL usando Chrome o Firefox y Wireshark en Linux

42686
Created On 07/11/22 21:23 PM - Last Modified 10/16/24 23:57 PM


Objective


Captura SSL claves de sesión de navegación web cifrada u otro tráfico de aplicaciones web en Chrome o Firefox y úsalo para descifrar capturas de paquetes en Wireshark.

Environment


  • Linux
  • Chrome 85 o posterior, o Firefox 81 o posterior
  • Wireshark 3.2.7 o posterior
  • SSL/ TLS sesiones utilizando RSA DHE ECDHE algoritmos de intercambio de claves.


Procedure


1. Cierre Chrome o Firefox por completo. Asegúrese de que todas las instancias están cerradas.

2. Abra una ventana Terminal y establezca la variable de SSLKEYLOGFILE entorno mediante el siguiente comando.
export SSLKEYLOGFILE="/home/$USER/sslkey.log"
Establecer SSLKEYLOGFILE variable de entorno.
 
No cierre la ventana del terminal.

3. Inicie Wireshark o tcpdump e inicie la captura de paquetes.

4.Inicie Chrome o Firefox utilizando la ventana de terminal que se utilizó para establecer la variable de entorno en el paso 2. (La variable de entorno se establece sólo para esa sesión de terminal específica).

Para Chrome: chromium-browser &Para Firefox:

firefox &


Ejecuta Chromium o Firefox desde el mismo terminal que ha configurado la SSKLEYLOGFILE variable de entorno.

5.Utilice el terminal para comprobar que se ha creado el archivo sslkey.log.

file /home/$USER/sslkey.log El resultado esperado si el archivo se crea correctamente será:/home/user1/sslkey.log

:
ASCII texto
Compruebe que se ha creado el archivo sslkey.log.
6. Vaya al sitio web o a la aplicación web que se está probando y ejecute todas las acciones que deben capturarse. 

En nuestro ejemplo, descargamos el archivo de prueba de malware desde el EICAR sitio seguro. 
Descargue contenido cifrado utilizando su navegador web.
7. Verifique en Wireshark para confirmar que la actividad se recopiló correctamente y detenga la captura.
Compruebe que la captura funcionó correctamente.
8. En Wireshark vaya a [ Editar > preferencias > protocolos > SSL ]. En (Pre)-Master-Secret log filename, seleccione el archivo sslkey.log creado en el paso 5 y haga clic en OK.
Rellene el nombre de archivo de registro (Pre)-Master-Secret.
9. La captura de paquetes descifrados se muestra en Wireshark.
La sesión descifrada SSL se expone en Wireshark.
10. (Opcional) Siga la HTTP secuencia para visualizar el contenido descifrado.
Siga HTTP Stream para visualizar los datos descifrados.
Nota 1: Este artículo está escrito solo con fines informativos. Palo Alto Networks no es compatible con ningún sistema operativo de terceros.


Additional Information


Actualmente no hay manera de exportar las capturas de paquetes descifradas de Wireshark en PCAP formato, sin embargo, hay tres opciones:
  • Comparta el PCAP archivo junto con su archivo sslkey.log correspondiente al destinatario previsto.
  • PDU Exportación de los datos descifrados:
Para exportar los descifrados PDU vaya a Archivo > Exportar PDU 's a Archivo > Capa OSI 4 o Capa OSI 7.
Guarde la salida resultante en un PCAPNG archivo.
  • Siga la secuencia descifrada HTTP (Paso 10), seleccione "Mostrar y guardar datos como": ASCII, luego seleccione "Guardar como... ". Esto guardará la salida de la secuencia impresa en un archivo de texto sin cifrar.


Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wkvECAQ&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language