Cómo descifrar SSL usando Chrome o Firefox y Wireshark en Linux
42686
Created On 07/11/22 21:23 PM - Last Modified 10/16/24 23:57 PM
Objective
Captura SSL claves de sesión de navegación web cifrada u otro tráfico de aplicaciones web en Chrome o Firefox y úsalo para descifrar capturas de paquetes en Wireshark.
Environment
- Linux
- Chrome 85 o posterior, o Firefox 81 o posterior
- Wireshark 3.2.7 o posterior
- SSL/ TLS sesiones utilizando RSA DHE ECDHE algoritmos de intercambio de claves.
Procedure
1. Cierre Chrome o Firefox por completo. Asegúrese de que todas las instancias están cerradas.
2. Abra una ventana Terminal y establezca la variable de SSLKEYLOGFILE entorno mediante el siguiente comando.
export SSLKEYLOGFILE="/home/$USER/sslkey.log"
No cierre la ventana del terminal. |
3. Inicie Wireshark o tcpdump e inicie la captura de paquetes.
4.Inicie Chrome o Firefox utilizando la ventana de terminal que se utilizó para establecer la variable de entorno en el paso 2. (La variable de entorno se establece sólo para esa sesión de terminal específica).
Para Chrome: chromium-browser &Para Firefox:
firefox &
5.Utilice el terminal para comprobar que se ha creado el archivo sslkey.log.
file /home/$USER/sslkey.log El resultado esperado si el archivo se crea correctamente será:/home/user1/sslkey.log
:
ASCII texto
6. Vaya al sitio web o a la aplicación web que se está probando y ejecute todas las acciones que deben capturarse.
En nuestro ejemplo, descargamos el archivo de prueba de malware desde el EICAR sitio seguro.
7. Verifique en Wireshark para confirmar que la actividad se recopiló correctamente y detenga la captura.
8. En Wireshark vaya a [ Editar > preferencias > protocolos > SSL ]. En (Pre)-Master-Secret log filename, seleccione el archivo sslkey.log creado en el paso 5 y haga clic en OK.
9. La captura de paquetes descifrados se muestra en Wireshark.
10. (Opcional) Siga la HTTP secuencia para visualizar el contenido descifrado.
Nota 1: Este artículo está escrito solo con fines informativos. Palo Alto Networks no es compatible con ningún sistema operativo de terceros.
Additional Information
Actualmente no hay manera de exportar las capturas de paquetes descifradas de Wireshark en PCAP formato, sin embargo, hay tres opciones:
- Comparta el PCAP archivo junto con su archivo sslkey.log correspondiente al destinatario previsto.
- PDU Exportación de los datos descifrados:
Guarde la salida resultante en un PCAPNG archivo.
- Siga la secuencia descifrada HTTP (Paso 10), seleccione "Mostrar y guardar datos como": ASCII, luego seleccione "Guardar como... ". Esto guardará la salida de la secuencia impresa en un archivo de texto sin cifrar.