Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Comment décrypter SSL en utilisant Chrome ou Firefox et Wiresha... - Knowledge Base - Palo Alto Networks

Comment décrypter SSL en utilisant Chrome ou Firefox et Wireshark sous Linux

42686
Created On 07/11/22 21:23 PM - Last Modified 10/16/24 23:57 PM


Objective


Capturez SSL les clés de session à partir de la navigation web cryptée ou d’autres applications Web dans Chrome ou Firefox et utilisez-les pour décrypter les captures de paquets dans Wireshark.

Environment


  • Linux
  • Chrome 85 ou plus nouveau, ou Firefox 81 ou plus nouveau
  • Wireshark 3.2.7 ou plus nouveau
  • SSL/ TLS sessions à RSA l’aide, DHE ou ECDHE algorithmes d’échange de clés.


Procedure


1. Fermez Chrome ou Firefox complètement. Assurez-vous que toutes les instances sont fermées.

2. Ouvrez une fenêtre Terminal et définissez la variable d’environnement à l’aide de la SSLKEYLOGFILE commande suivante.
export SSLKEYLOGFILE="/home/$USER/sslkey.log »
Définissez la SSLKEYLOGFILE variable environnementale.
 
Ne fermez pas la fenêtre du terminal.

3. Lancez Wireshark ou tcpdump et lancez la capture de paquets.

4.Lancez Chrome ou Firefox à l’aide de la fenêtre du terminal utilisée pour définir la variable d’environnement à l’étape 2. (La variable d’environnement est définie uniquement pour cette session Terminal spécifique).

Pour Chrome:chromium-browser & Pour Firefox:

firefox &


Lancez Chromium ou Firefox à partir du même terminal qui a défini la SSKLEYLOGFILE variable environnementale.

5.Utilisez le terminal pour vérifier que le fichier sslkey.log est créé.

fichier /home/$USER/sslkey.log La sortie attendue si le fichier est correctement créé sera :/home/user1/sslkey.log

:
ASCII text
Vérifiez que le fichier sslkey.log a été créé.
6. Parcourez le site Web ou l’application Web qui est testé et exécutez toutes les actions qui doivent être capturées. 

Dans notre exemple, nous téléchargeons le fichier de test de logiciels malveillants à EICAR partir du site sécurisé. 
Téléchargez du contenu crypté à l’aide de votre navigateur Web.
7. Vérifiez dans Wireshark pour confirmer que l’activité a été correctement collectée et arrêtez la capture.
Vérifiez que la capture a fonctionné correctement.
8. Dans Wireshark, allez dans [ Modifier > préférences > protocoles > SSL ]. Sous Nom du fichier journal (Pre)-Master-Secret, sélectionnez le fichier sslkey.log créé à l’étape 5, puis cliquez sur OK.
Renseignez le nom du fichier journal (Pre)-Master-Secret.
9. La capture de paquets déchiffrés est affichée dans Wireshark.
La session déchiffrée SSL est exposée dans Wireshark.
10. (Facultatif) Suivez le flux pour visualiser le HTTP contenu déchiffré.
Suivez HTTP Stream pour visualiser les données déchiffrées.
Note1: Cet article est écrit à titre informatif seulement. Palo Alto Networks ne prend en charge aucun système d’exploitation tiers.


Additional Information


Il n’existe actuellement aucun moyen d’exporter les captures de paquets déchiffrées de Wireshark PCAP en format, cependant, il existe trois options:
  • Partagez le PCAP fichier avec son fichier sslkey.log correspondant au destinataire prévu.
  • PDU Exportation des données décryptées :
Pour exporter les PDU décryptés, passez à File > Export PDU 's to File > Layer OSI 4, ou OSI Layer 7.
Enregistrez la sortie résultante dans un PCAPNG fichier.
  • Suivez le flux déchiffré HTTP (étape 10), sélectionnez « Afficher et enregistrer les données sous » : ASCII, puis sélectionnez « Enregistrer sous... ". Cela permettra d’enregistrer la sortie de flux imprimé dans un fichier texte clair.


Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wkvECAQ&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language