Comment décrypter SSL en utilisant Chrome ou Firefox et Wireshark sous Linux
42686
Created On 07/11/22 21:23 PM - Last Modified 10/16/24 23:57 PM
Objective
Capturez SSL les clés de session à partir de la navigation web cryptée ou d’autres applications Web dans Chrome ou Firefox et utilisez-les pour décrypter les captures de paquets dans Wireshark.
Environment
- Linux
- Chrome 85 ou plus nouveau, ou Firefox 81 ou plus nouveau
- Wireshark 3.2.7 ou plus nouveau
- SSL/ TLS sessions à RSA l’aide, DHE ou ECDHE algorithmes d’échange de clés.
Procedure
1. Fermez Chrome ou Firefox complètement. Assurez-vous que toutes les instances sont fermées.
2. Ouvrez une fenêtre Terminal et définissez la variable d’environnement à l’aide de la SSLKEYLOGFILE commande suivante.
export SSLKEYLOGFILE="/home/$USER/sslkey.log »
Ne fermez pas la fenêtre du terminal. |
3. Lancez Wireshark ou tcpdump et lancez la capture de paquets.
4.Lancez Chrome ou Firefox à l’aide de la fenêtre du terminal utilisée pour définir la variable d’environnement à l’étape 2. (La variable d’environnement est définie uniquement pour cette session Terminal spécifique).
Pour Chrome:chromium-browser & Pour Firefox:
firefox &
5.Utilisez le terminal pour vérifier que le fichier sslkey.log est créé.
fichier /home/$USER/sslkey.log La sortie attendue si le fichier est correctement créé sera :/home/user1/sslkey.log
:
ASCII text
6. Parcourez le site Web ou l’application Web qui est testé et exécutez toutes les actions qui doivent être capturées.
Dans notre exemple, nous téléchargeons le fichier de test de logiciels malveillants à EICAR partir du site sécurisé.
7. Vérifiez dans Wireshark pour confirmer que l’activité a été correctement collectée et arrêtez la capture.
8. Dans Wireshark, allez dans [ Modifier > préférences > protocoles > SSL ]. Sous Nom du fichier journal (Pre)-Master-Secret, sélectionnez le fichier sslkey.log créé à l’étape 5, puis cliquez sur OK.
9. La capture de paquets déchiffrés est affichée dans Wireshark.
10. (Facultatif) Suivez le flux pour visualiser le HTTP contenu déchiffré.
Note1: Cet article est écrit à titre informatif seulement. Palo Alto Networks ne prend en charge aucun système d’exploitation tiers.
Additional Information
Il n’existe actuellement aucun moyen d’exporter les captures de paquets déchiffrées de Wireshark PCAP en format, cependant, il existe trois options:
- Partagez le PCAP fichier avec son fichier sslkey.log correspondant au destinataire prévu.
- PDU Exportation des données décryptées :
Enregistrez la sortie résultante dans un PCAPNG fichier.
- Suivez le flux déchiffré HTTP (étape 10), sélectionnez « Afficher et enregistrer les données sous » : ASCII, puis sélectionnez « Enregistrer sous... ". Cela permettra d’enregistrer la sortie de flux imprimé dans un fichier texte clair.