Agganciare le librerie SSL di Windows

1

Quali librerie utilizza Windows per inviare il traffico SSL? Il ws2_32.dll ha la funzione di invio TCP, ma il traffico viene crittografato prima che raggiunga quella funzione.

Sto cercando di raggiungere il codice in cui il traffico è ancora in chiaro. È un'applicazione per Windows, non è una pagina Web, quindi non posso guardare il codice sorgente di Firefox ecc.

C'è uno strumento chiamato Echo Mirage che lo fa, ma sono interessato a come lo ottengono.

Grazie

    
posta CBaker 30.03.2017 - 18:02
fonte

1 risposta

3

Windows utilizza il suo canale sicuro ( schannel.dll ) per tutte le comunicazioni di tipo SSL / TLS. Puoi provare a consultare documenti di Windows per TLS . Potresti anche essere in grado di utilizzare Fiddler come proxy SSL per esaminare i dati decrittografati.

@CBHacking ha commentato con uno strumento molto utile, Microsoft Message Analyzer . Utilizza Fiddler dietro le quinte quando si utilizza lo strumento Quick Trace per la decrittografia HTTP in tempo reale. Ma puoi anche eseguire Post Decryption su TLS usando questo strumento. Una citazione da quel post del blog:

Today you can capture the traffic before it is encrypted using the Unencrypted HTTPS scenario from the Quick Trace menu. This requires you install the Fiddler Core components, which is how we enable this scenario. However, there are some limitations and scenarios that it doesn’t cover, like non HTTP traffic. And not all clients and capturing scenarios work with Fiddler. So another other option is to decrypt after the fact.

Post decryption has its challenges too. You need the private cert and password, which might not always be easily available. However, one nice mitigation is that the person who does have access to the certificate can always save the results, filtered down, and send only that data he wants you to see. Also, we haven’t hooked up every parser yet, however for some cases it’s a simple change and something we’ll extend moving forward.

Se hai accesso al certificato in cui desideri utilizzare la tua applicazione, questa potrebbe essere una buona sostituzione per il traffico TLS non HTTP.

    
risposta data 30.03.2017 - 18:18
fonte

Leggi altre domande sui tag