MITM le mie connessioni SSL con ad es. wireshark - nessun proxy

Naviga le tue risposte
2

Vorrei esaminare il traffico SSL (https?) proveniente da uno dei miei computer. Il problema è che non so con certezza da quale programma provenga, e molto probabilmente non posso fargli usare un proxy (quindi strumenti come Fiddler o Charles non funzioneranno). Tuttavia, credo che il programma che crea il traffico non controlli la validità dei certificati. Anche se così fosse, ci sono buone probabilità che rispetti l'archivio dei certificati di sistema, quindi potrei inserire la mia root in quella posizione.

Posso rendere wireshark (o qualsiasi strumento simile) in qualche modo accettare ogni connessione SSL con un certificato falso, decomprimere e mostrarmi i dati, quindi aprire un'altra connessione SSL all'host remoto? Preferibilmente questa tecnica dovrebbe funzionare su Windows.

(Altre domande simili su questo sito presuppongono che sia possibile configurare il programma come MITMed (impostando un proxy) o che posso acquisire alcuni segreti dalle sessioni SSL. Voglio iniettare certificati falsi in tutte le connessioni SSL in uscita , dal vivo.)

    
posta jdm 08.04.2016 - 20:45
fonte

2 risposte

3

Wireshark da solo non lo fa, può solo guardare il traffico se già si conoscono le chiavi / i certificati per poter decodificare il traffico nella connessione TLS. Esiste un tipo di proxy, un proxy trasparente, che le applicazioni devono utilizzare perché si siedono sulla porta 80/443 del gateway e semplicemente intercettano tutto il traffico. Questo sarebbe l'approccio di cui hai bisogno se vuoi essere al corrente del traffico coinvolto nella tua applicazione misteriosa.

Se si desidera attaccare a Wireshark, è possibile utilizzare un semplice proxy trasparente (con qualcosa come Squid) per consegnare il proprio certificato e quindi guardare il traffico e consentire a wireshark di decrittografarlo. Ci sono tutorial ma è leggermente complesso.

Ciò che desideri è racchiuso in un singolo prodotto chiamato Burp Suite, ti consente di intercettare il traffico (fungendo da proxy trasparente che l'applicazione non può ignorare) inserire il tuo certificato, guardare le conversazioni risultanti, ecc.

Vedi la pagina del prodotto per maggiori informazioni: link

    
risposta data 08.04.2016 - 22:04
fonte
1

Per eludere il problema del proxy, è disponibile lo spoofing ARP.

MiTM lo ssl, c'è sslstrip.

Ci sono un sacco di tutorial su come funziona.

Se tuttavia il certificato viene convalidato, sarai sfortunato.

Come ha sottolineato Steffen nei commenti, non c'è modo di rendere wirehark - essendo uno sniff-sniff passivo attivo.

Tuttavia, il tutorial che ho collegato utilizza un altro sniffer che funzionerà altrettanto bene, probabilmente.

    
risposta data 08.04.2016 - 21:13
fonte

Leggi altre domande sui tag

Cos'è OSINT (intelligenza open source)? Come decrittografare una scheda microSD dopo un reset di fabbrica del dispositivo utilizzato per crittografarlo?