» »

Dekriptiranje HTTPS povezave v Wiresharku

Dekriptiranje HTTPS povezave v Wiresharku

ragezor ::

Predpostavimo, da uporabljam internet explorer in se vpisem v facebook preko https. V developer toolsih vidim promet lepo dekriptiran, ce pa pogledm v wiresharku je pa promet zakriptiran.

Obstaja kaksen nacin, da dekriptiram promet v wiresharku?

Probal sem izvoziti moj osebni certifikat s keyem in ga uvoziti v Wireshark, pa ne deluje. Baje da moj privatni key ni dovolj. Prav tako sem probal nastaviti SSLKEYLOGFILE, zagnati firefox in se vpisati v facebook in potem Wiresharku nastaviti datoteko kakor je opisano tukaj: https://developer.mozilla.org/en-US/doc...
ampak Wireshark se vedno ne dekriptira prometa. Tudi ce bi slo, nevem ce tele master keye lahko dobim ven iz Internet Explorerja.

Ima kdo se kaksno idejo kako dekriptirati https promet v Wiresharku?

ragezor ::

Razumem, da je https obramba pred prisluskovanjem, ampak jaz hocem dekriptirat svoj lasten promet na svojem racunalniku.

rokp ::

Uporabi Fiddler.

kunigunda ::

Si na pravi poti, se mal poskusaj. Vem da se da, ker sem to ze delal, je pa ze dooooolg tega pa sm pozabu. Sm pa iz sistema izvozu cert,
ze enim programckom, ker se sicer ni dalo (tud pozabu ime).

jype ::

Če bo želel dekriptirat svoj promet do facebooka, bo potreboval zasebni ključ facebookovega strežniškega certifikata.

SeMiNeSanja ::

jype je izjavil:

Če bo želel dekriptirat svoj promet do facebooka, bo potreboval zasebni ključ facebookovega strežniškega certifikata.

A kar zasebnega? Si ziher?

llc ::

mislim, da bi moralo s temle iti brez težav...

win64 ::

Kot je že nekdo omenil, fiddler in vklop možnost "Decrypt HTTPS traffic". Ti namesti fake certifikate, ki omogočajo prisluškovanje tvojemu prometu.

Mesar ::

SeMiNeSanja je izjavil:

jype je izjavil:

Če bo želel dekriptirat svoj promet do facebooka, bo potreboval zasebni ključ facebookovega strežniškega certifikata.

A kar zasebnega? Si ziher?


Seveda sej to je ravno point javnih in zasebnih ključev lol. Ja fiddler mu bo dekriptiral traffic med programom, ki dela zahtevke in fiddlerjem... obratno pa bolj težko razen če ima veze pri kakšni organizaciji, da mu private keye uredijo :D.

Sicer pa... veselo branje: Public-key cryptography @ Wikipedia še slikice so... to je snov prvega letnika FERI/FRI :) za tiste ki niso preleni da bi dodatne naloge delali ;((
Your turn to burn!

Lonsarg ::

Načeloma samo v svoj brskalnik ali program uvoziš svoj homemade root certifikat kot zaupanja vreden, potem pa lahko z tem certifikatom fejkaš vse spletne strani v realtime in torej HTTPS promet gledaš kot da ni HTTPS.

ISPji in razne agencije pa to lahko delajo celo brez da ti kak root certifikat uvozijo v računalnik, ker lahko od teh agencij, ki izdajajo certifikate(in ki jim tvoj brskalnik že po defultu zaupa) pridobijo ustrezen certifikat za ponarejanje poljubnega strežnika. In to kao vse legalno, za potrebe QoS storitev...

AndrejO ::

kunigunda je izjavil:

Si na pravi poti, se mal poskusaj. Vem da se da, ker sem to ze delal, je pa ze dooooolg tega pa sm pozabu. Sm pa iz sistema izvozu cert,
ze enim programckom, ker se sicer ni dalo (tud pozabu ime).

Delalo je zato, ker si to delal na strani strežnika oz. si imel strežniški ključ.

Mesar je izjavil:

SeMiNeSanja je izjavil:

jype je izjavil:

Če bo želel dekriptirat svoj promet do facebooka, bo potreboval zasebni ključ facebookovega strežniškega certifikata.

A kar zasebnega? Si ziher?


Seveda sej to je ravno point javnih in zasebnih ključev lol. Ja fiddler mu bo dekriptiral traffic med programom, ki dela zahtevke in fiddlerjem... obratno pa bolj težko razen če ima veze pri kakšni organizaciji, da mu private keye uredijo :D.

Sicer pa... veselo branje: Public-key cryptography @ Wikipedia še slikice so... to je snov prvega letnika FERI/FRI :) za tiste ki niso preleni da bi dodatne naloge delali ;((

Fail, tvoja utemeljitev je nepopolna in zavajajoča. To ni point javnih in zasebnih ključev, to je point SSL/TLS protokola. Morda bi moral ti narediti kakšno dodatno vajo. ;)

Odjemalec bo strežniku poslal podatke potrebne za izbiro simetričnega ključa za šifriranje podatkov (key exchange). Ti podatki pa so bodisi šifrirani s strežnikovim javnih RSA ključem, bodisi nepopolni (samo javni del DH ključa). Point je torej v temu, da zaradi implementacije protokola na odjemalčevi strani tega ne moreš storiti (ključni podatki so samo v pomnilniku), pogojno pa to lahko storiš na strežnikovi strani oz. s posedovanjem zasebnega ključa strežnika. Pogojno zato, ker se lahko dva dogovorita tudi za začasne asimetrične ključe (uporabljen je DH, išči pod ephemeral keys oz. perfect forward secrecy), kar bo preprečilo dešifriranje tudi tistim, ki imajo zasebni ključ strežnika. Ključni podatki bodo pri tem pristopu ostali samo v pomnilniku in bodo na koncu seje prenehali obstajati.

Lonsarg je izjavil:

Načeloma samo v svoj brskalnik ali program uvoziš svoj homemade root certifikat kot zaupanja vreden, potem pa lahko z tem certifikatom fejkaš vse spletne strani v realtime in torej HTTPS promet gledaš kot da ni HTTPS.

No, no. Kot prvo, to je uporabno za phishing, ne pa za ugotavljanje vsebine prenosov do dejanskih strežnikov. Pri slednjih bo najbolj zanesljivo deloval MITM pristop.

Lonsarg je izjavil:

ISPji in razne agencije pa to lahko delajo celo brez da ti kak root certifikat uvozijo v računalnik, ker lahko od teh agencij, ki izdajajo certifikate(in ki jim tvoj brskalnik že po defultu zaupa) pridobijo ustrezen certifikat za ponarejanje poljubnega strežnika. In to kao vse legalno, za potrebe QoS storitev...

Tudi ta zabava je vedno težje izvedljiva. Certificate pinning.

kunigunda ::

AndrejO je izjavil:

kunigunda je izjavil:

Si na pravi poti, se mal poskusaj. Vem da se da, ker sem to ze delal, je pa ze dooooolg tega pa sm pozabu. Sm pa iz sistema izvozu cert,
ze enim programckom, ker se sicer ni dalo (tud pozabu ime).

Delalo je zato, ker si to delal na strani strežnika oz. si imel strežniški ključ.

Na strani klienta, ampak sem rabil samo download.
Za oboje pa mal igrackanja z lokalnim apachijem kot mitm

Se zdej pa ne vem zakaj rabi v wiresharku vidt, ce prav da mu ostali tooli lepo kazejo (verjetn kak addon v browserju)

Zgodovina sprememb…

AndrejO ::

kunigunda je izjavil:

AndrejO je izjavil:

kunigunda je izjavil:

Si na pravi poti, se mal poskusaj. Vem da se da, ker sem to ze delal, je pa ze dooooolg tega pa sm pozabu. Sm pa iz sistema izvozu cert,
ze enim programckom, ker se sicer ni dalo (tud pozabu ime).

Delalo je zato, ker si to delal na strani strežnika oz. si imel strežniški ključ.

Na strani klienta, ampak sem rabil samo download.
Za oboje pa mal igrackanja z lokalnim apachijem kot mitm

No, MITM ti da strežniški zasebni ključ - samo da je to pač ključ tvojega lokalnega apache strežnika. Zgolj samo s podatki iz žice si ne boš mogel pomagati. Ravno tako pa ne, če boš na svojem MITM dovilil uporabo PFS oz. "ephemeral keys".

kunigunda ::

AndrejO je izjavil:

kunigunda je izjavil:

AndrejO je izjavil:

kunigunda je izjavil:

Si na pravi poti, se mal poskusaj. Vem da se da, ker sem to ze delal, je pa ze dooooolg tega pa sm pozabu. Sm pa iz sistema izvozu cert,
ze enim programckom, ker se sicer ni dalo (tud pozabu ime).

Delalo je zato, ker si to delal na strani strežnika oz. si imel strežniški ključ.

Na strani klienta, ampak sem rabil samo download.
Za oboje pa mal igrackanja z lokalnim apachijem kot mitm

No, MITM ti da strežniški zasebni ključ - samo da je to pač ključ tvojega lokalnega apache strežnika. Zgolj samo s podatki iz žice si ne boš mogel pomagati. Ravno tako pa ne, če boš na svojem MITM dovilil uporabo PFS oz. "ephemeral keys".

Apache reverse proxy redirect na non-ssl port 80 kjer poslusas odkrito verzijo med klientom in serverjem (v browserju moras pa nastavt
ip na svoj server z apachijem). v bistvu rata apache klient (ne tvoj browser)
Na ta nacin sem enkrat gledal kaj se z m:namiznikom dogaja.

Zgodovina sprememb…

misek ::

Torej bi bilo možno dobiti AES ključ pri D3 GO od Telemacha? Tam so video streami namreč šifrirani.

jype ::

misek> Torej bi bilo možno dobiti AES ključ pri D3 GO od Telemacha? Tam so video streami namreč šifrirani.

Če stream dešifriraš na lokalni mašini, potem zagotovo - ampak če ni res slabo napisano, potem ne bo šlo brez debuggerja.

Če je narejeno pravilno, potem je stream itak kriptiran s sejnimi ključi in če bi radi našli, kdo je stream raztalal naokoli, tudi ustrezno watermarkan.

misek ::

Mislim da vsi uporabniki dobijo enaki stream, torej potrebujejo enaki ključ. M3U8 datoteka je namreč
#EXTM3U
#EXT-X-VERSION:1
#EXT-X-MEDIA-SEQUENCE:135358
#EXT-X-ALLOW-CACHE:NO
#EXT-X-TARGETDURATION:8
#EXT-X-KEY:METHOD=AES-128,URI="https://89.216.1.216/CAB/keyfile?r=20&t=DTV&p=0"
#EXTINF:8, no desc
slo1_slo-track_1=96000-video=2440000-135358.ts

Stream se da sneti ampak brez ključa je neuporaben. Škoda. Bi lahko gledal streame v Kodiju :)

ragezor ::

Bom probal z Fiddlerjem, ko bom imel vec casa.

Gre se za to, da je aplikacija napisana v Adobe AIR (gre se za League of Legends). Pred kratkim je bil en exploit, ker si za dostop do trgovine rabil samo cookie, ki je bil userID (lol), torej ce si vedel userID si lahko dostopal do trgovine in kupoval skine in podobno.

Zato me je zanimalo, kako dekriptiras ssl, da najdes cookije za sejo. Drugace Adobe AIR za renderanje nima svojega brskalnika ampak uporablja Internet Explorer, ampak vseeno nimas dostopa do developer toolsov. Mogoce bi se dalo kako dobiti master keye, ki so v spominu tudi iz IEja, tako kot se jih da iz FF, Chroma. Ampak mi tudi ta nacin v Wiresharku ni deloval, ko sem testiral na facebooku (?).

garamond ::

ragezor je izjavil:

Zato me je zanimalo, kako dekriptiras ssl, da najdes cookije za sejo. Drugace Adobe AIR za renderanje nima svojega brskalnika ampak uporablja Internet Explorer, ampak vseeno nimas dostopa do developer toolsov.
Si prepričan, da Adobe AIR uporabi IE? Ne vem za zadnjo verzijo, toda ponavadi je bil v AIR na voljo osnoven Webkit pogon.

ragezor ::

Nisem preprican, vendar recimo ce mas nastavljeno no cookies v IEju se to prenese na aplikacijo in ne deluje. In po drugih podobnih zadevah sem pac sklepal. Itak je pa besides the point.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Ob vstopu na stran spletne banke mi ne ponudi okna s certifikatom

Oddelek: Pomoč in nasveti
425863 (3547) mepa
»

Višje sodišče potrdilo sodbo: NLB mora povrniti škodo zaradi vdora v e-banko (strani: 1 2 3 4 5 )

Oddelek: Novice / Varnost
23243448 (36659) sisemen 
»

NLB mora povrniti škodo zaradi phishinga (strani: 1 2 3 )

Oddelek: Novice / Varnost
12828838 (21909) tony1
»

Zadnji vzdihljaji Lavabita

Oddelek: Novice / Varnost
63744 (2050) BaToCarx

Več podobnih tem