復号化する方法SSLLinux で Chrome または Firefox と Wireshark を使用する
42686
Created On 07/11/22 21:23 PM - Last Modified 10/16/24 23:57 PM
Objective
捕獲SSLChrome または Firefox で暗号化された Web ブラウジングまたはその他の Web アプリケーション トラフィックからセッション キーを取得し、それを使用して Wireshark でパケット キャプチャを復号化します。
Environment
- Linux
- Chrome 85 以降、または Firefox 81 以降
- Wireshark 3.2.7 以降
- SSL/TLSを使用したセッションRSA、DHEまたECDHE鍵交換アルゴリズム。
Procedure
1. Chrome または Firefox を完全に閉じます。 すべてのインスタンスが閉じていることを確認してください。
2. ターミナル ウィンドウを開き、SSLKEYLOGFILE次のコマンドを使用して環境変数を変更します。
輸出SSLKEYLOGFILE="/ホーム/$USER /sslkey.log"
端末ウィンドウを閉じないでください。 |
3. Wireshark または tcpdump を起動し、パケット キャプチャを開始します。
4.手順 2 で環境変数を設定するために使用したターミナル ウィンドウを使用して、Chrome または Firefox を起動します。 (環境変数は、その特定のターミナル セッションに対してのみ設定されます)。
クロムの場合:
クロムブラウザと
Firefox の場合:
ファイアフォックス&
5.ターミナルを使用して、sslkey.log ファイルが作成されたことを確認します。
ファイル /home/$USER /sslkey.log
ファイルが適切に作成された場合の予想される出力は次のようになります。
/home/user1/sslkey.log:ASCII文章
6. テストされている Web サイトまたは Web アプリケーションを参照し、キャプチャする必要があるすべてのアクションを実行します。
この例では、マルウェア テスト ファイルをEICAR安全なサイト。
7。 Wireshark にチェックインして、アクティビティが適切に収集されたことを確認し、キャプチャを停止します。
8. Wireshark で [編集 > 設定 > プロトコル > に移動します。SSL ]。 [(Pre)-Master-Secret ログ ファイル名] で、手順 5 で作成した sslkey.log ファイルを選択し、[OK .
9. 復号化されたパケット キャプチャが Wireshark に表示されます。
10. (オプション)HTTP復号化されたコンテンツを視覚化するためにストリーミングします。
注1:この記事は情報提供のみを目的として書かれています。 Palo Alto Networks は、サードパーティのオペレーティング システムをサポートしていません。
Additional Information
現在、復号化されたパケット キャプチャを Wireshark からエクスポートする方法はありません。PCAPただし、次の 3 つのオプションがあります。
- 共有するPCAPファイルとそれに対応する sslkey.log ファイルを対象の受信者に送信します。
- PDU 復号化されたデータのエクスポート:
結果の出力をPCAPNGファイル。
- 解読された者を追跡するHTTPストリーム (ステップ 10) で、[データを表示して保存] を選択します。ASCIIを選択し、[名前を付けて保存...] を選択します。 これにより、印刷されたストリーム出力が平文ファイルに保存されます。