Visualizza il codice di accesso, il token di accesso e il token ID di Google durante un flusso OpenID Connect

Naviga le tue risposte
0

Situazione

Vogliamo utilizzare un logger / proxy / analizzatore HTTP per ispezionare il codice di accesso, il token di accesso e il token id che fanno parte del flusso di codice. Il flusso sta accadendo tra Google (il server di autorizzazione), un browser Web in esecuzione locale (l'agente utente) e un'applicazione Web in esecuzione locale (il client).

Cosa abbiamo provato # 1

Abbiamo provato a utilizzare Fiddler, WireShark e RawCap e tuttavia non siamo stati in grado di visualizzarne uno. Ecco un esempio di ciò che abbiamo provato.

  1. Avvia una sessione di RawCap sul nostro dispositivo IPv4.
    • rawcap -f 192.168.1.82 ipv4.pcap
    • rawcap -f 127.0.0.1 loopback.pcap
  2. Attraversa il flusso di codice con l'applicazione web locale e Google.
  3. Interrompe la sessione di RawCap.
  4. Apri i file .pcap in WireShark.
  5. Visualizza i risultati dell'elenco di pacchetti e li abbina ai passaggi del flusso di codice.

problema

Tutta la comunicazione tra l'applicazione web locale, Google e l'agente utente appare nascosta dietro TLS. Come possiamo visualizzare i codici e i token? Il loopback di Windows 10 è sempre ::1 , quindi RawCap non lo cattura.

Cosa abbiamo provato # 2

Installa WireShark.

Installa Npcap. Questo è per catturare il traffico di loopback IPv6 su Windows 10.

Esegui quanto segue in PowerShell. Imposta una variabile ambientale, che indica a Firefox e Chrome di registrare il loro segreto pre-master in un file. 

[System.Environment]::SetEnvironmentVariable("SSLKEYLOGFILE", "C:\Wireshark\sslkeylog.log", [System.EnvironmentVariableTarget]::Machine);

Riavvia Windows. Potresti non doverlo fare, ma farlo è completo.

Avvia Wireshark.

  • Configura SSL. Modifica > Preferenze > Protocolli > SSL > (Pre) -Master-Secret log filename: C:\Wireshark\sslkeylog.log
  • Avvia l'acquisizione e includi il loopback. Cattura > Opzioni > Ingresso. Scegli sia npcap Loopback Adapter che Wi-Fi .
  • Imposta un filtro di visualizzazione. Il filtro visualizza solo il traffico SSL tra i miei computer e duckduckgo.com. %codice%. (Naturalmente possiamo applicarlo anche a Google.)

A questo punto, vedremo la scheda ssl and ip.dst == 192.168.1.82 and ip.src == 54.215.176.19 nel pannello Pacchetti di pacchetti di WireShark.

Esportaidatidecrittografati

  1. File>ExportPacketDissections>Cometestonormale
  2. Intervallodipacchetti>Tuttiipacchetti>Mostrato
  3. Formatopacchetto>Pacchettidipacchetti.
  4. Nomefile>Whatever.txt
  5. Salvacometipo>Testonormale(*.txt)
  6. Salva!

IlfilerisultantemostreràogniFrameeisuoiDatiSSLdecrittografati.Idatidecrittografatisfortunatamentesarannoinunformatocolonnaredidifficilelettura.

Vedianche

posta Shaun Luttin 20.07.2016 - 23:04
fonte

0 risposte

Leggi altre domande sui tag

Come posso modificare questo nuovo indirizzo MAC? [chiuso] In che modo esattamente il malware Android HummingBad ottiene l'accesso root?