Wireshark Trace contenente SSL RSA con RC4 128 md5

1

Ho pensato che sarebbe stata una buona idea fare un'acquisizione wirehark sul mio login a un sito Web e cercare di capire dove è il pacchetto contenente la password e decodificarlo.

Così ho effettuato l'accesso a un sito Web che utilizza SSL RSA con RC4 128 md5 per crittografare la password. Non sto chiedendo a qualcuno di dirmi esattamente cosa fare, sarebbe bello, ma mi piacerebbe qualche consiglio su come trovarlo e su come decrittarlo.

(Conosco già la password in chiaro poiché è la mia, ma ovviamente non è in chiaro nella traccia wireshark)

Ho l'hash MD5 standard della mia password e ho cercato di trovarlo nella traccia, ma non viene visualizzato. Non so come SSL RSA crittografa la password, quindi non sono sicuro di cosa sto cercando esattamente.

Grazie in anticipo.

    
posta BubbleMonster 18.08.2013 - 21:31
fonte

2 risposte

2

Ooops !!! Non puoi farlo.

Perché?

Non puoi decodificare il dump di wireshark senza che la chiave privata corrisponda al certificato SSL del server.

Se si dispone della chiave privata corrispondente del certificato SSL, quindi con l'ultimo wirehark.

Goto Edit- > Preferenze - > Protocollo - > SSL - > RSA KeysList - > Modifica, fornisci l'IP del server, Protocollo come HTTP e SSL PFX e la sua password e fai clic su APPLICA e OK.

    
risposta data 19.08.2013 - 07:39
fonte
1

Per una descrizione di come funziona SSL, vedi questa risposta . Per farla breve, SSL inizia con una procedura speciale chiamata handshake in cui client e server scambiano "messaggi di handshake". Un sacco di crittografia è coinvolta, al punto che alla fine della stretta di mano, client e server condividono un valore segreto specifico della sessione, da cui derivano le chiavi per la crittografia e la verifica dell'integrità dei dati in entrambe le direzioni. Il punto di SSL è quello di stabilire un tunnel bidirezionale per dati arbitrari; che "dati arbitrari" sono chiamati dati dell'applicazione nella terminologia SSL.

HTTPS è "HTTP in SSL": viene eseguito prima un handshake SSL; e quindi, il semplice traffico HTTP (le richieste HTTP con le intestazioni e le risposte corrispondenti) vengono trasmessi come "dati dell'applicazione" attraverso il tunnel SSL. Quando un sito Web richiede l'autenticazione del client, questo processo si verifica a livello HTTP, quindi, dal punto di vista di SSL, come "dati dell'applicazione". La password dell'utente farà parte dei dati dell'applicazione.

Tuttavia, tutti i dati dell'applicazione sono crittografati, poiché è per questo che è stato progettato SSL. Come outsider, non sarai in grado di leggerlo, perché questo è l'intero punto di SSL. SSL protegge il traffico client-server contro gli intercettatori, incluso te stesso. Non vedrai nulla tranne "dati delle applicazioni crittografati".

Per "vedere" il traffico interno, le richieste e le risposte HTTP (e, quindi, il nome utente e la password in esso contenuti), è necessario sfogliare il livello SSL; Wireshark può farlo, ma solo se gli dai una copia della chiave privata del server (la chiave privata del server potrebbe non essere sufficiente per quello, quando client e server sono d'accordo su una suite di crittografia "DHE", ma questa non è la situazione che incontri). Vedi questa pagina per alcuni documenti. Sarebbe piuttosto allarmante se l'interruzione di SSL fosse possibile senza un accesso privilegiato ad almeno alcuni dati segreti lato client o lato server ...

    
risposta data 21.08.2013 - 14:52
fonte

Leggi altre domande sui tag