Qualcuno sa come "tcpdump" il traffico decrittografato da Mallory MITM?

3

Sto cercando aiuto nell'acquisizione del traffico di rete che posso analizzare in Wireshare (o altri strumenti). Lo strumento che sto usando è la malleria.

Se qualcuno ha familiarità con la mallory, potrei usare un po 'di aiuto. Ho configurato e funziona correttamente, ma non so come ottenere l'output che voglio.

L'installazione è sulla mia rete privata. Ho una VM (con Ubuntu 12.04 - preciso) con due NIC:

  • eth0 è sulla mia "vera" rete
  • eth1 è solo sulla mia rete "fasulla" e utilizza dnsmasq (per DNS e DHCP per altri dispositivi sulla rete "finta")

In pratica eth0 è la "WAN" sulla mia VM, e eth1 è la "LAN" sulla mia VM.

Ho installato mallory e iptables per intercettare, decodificare, crittografare e riscrivere tutto il traffico in arrivo sulla porta di destinazione 443 su eth1. Sul dispositivo che desidero intercettare, ho importato il numero approssimativo che la malleria ha generato come certificato radice affidabile.

Ho bisogno di analizzare alcuni strani comportamenti nel flusso HTTPS tra il client e il server, ecco perché la mallory è installata in mezzo per questo MITM.

Mi piacerebbe prendere il traffico HTTPS decrittografato e scaricarlo su un file di log o su un socket in un formato compatibile con tcpdump / wireshark (in modo da poterlo raccogliere in seguito e analizzarlo).

L'esecuzione di tcpdump su eth1 è troppo presto (è crittografata) e l'esecuzione di tcpdump su eth2 è troppo tardi (è stata re-crittografata). Esiste un modo per rendere mallice "tcpdump" il traffico decrittografato (in entrambe le direzioni)?

    
posta chriv 12.09.2012 - 22:32
fonte

1 risposta

1

Mi sono imbattuto in questo stesso problema, anche se non con Mallory (non ho mai avuto fortuna nel far funzionare Mallory, anche se ho provato solo poco dopo la sua uscita). Se è possibile configurare l'IP di destinazione nel client, si dovrebbe essere in grado di utilizzare anche la mia soluzione. Ho usato stunnel in combinazione con un proxy relay tcp rubino. Ho bloggato su ciò che ho fatto qui: link

Ho un amico che ha usato questi passaggi per ottenere il lavoro di mallory, e ha funzionato bene per lui. link

    
risposta data 02.10.2012 - 03:29
fonte

Leggi altre domande sui tag