wifislax utilizar tráfico trafico sslstrip interceptar descifrar contraseñas como capturar ssl https man-in-the-middle

utilizar - wireshark sslstrip



Captura de tráfico HTTPS en el claro? (6)

Tengo una aplicación local (que no escribí, y no puedo cambiar) que habla con un servicio web remoto. Utiliza HTTPS, y me gustaría ver qué hay en el tráfico.

¿Hay alguna manera de que pueda hacer esto? Preferiría un sistema Windows, pero me complace configurar un proxy en Linux si esto hace las cosas más fáciles.

Lo que estoy considerando:

  1. Redirigiendo el sitio web pirateando mi archivo de hosts (o configurando DNS alternativo).
  2. Instalar un servidor HTTPS en ese sitio, con un certificado autofirmado (pero de confianza).
  3. Aparentemente, WireShark puede ver lo que hay en HTTPS si le das la clave privada. Nunca he intentado esto.
  4. De alguna manera, delegue este tráfico al servidor real (es decir, es un "ataque" hombre-en-medio en toda regla).

¿Esto suena sensato? ¿Puede WireShark realmente ver qué hay en el tráfico HTTPS? ¿Alguien puede indicarme un proxy adecuado (y configuración para el mismo)?

  1. Para usar el proxy https para monitorear, depende del tipo de protocolo de enlace. Si su aplicación local no verifica el certificado del servidor mediante la firma de CA que no puede falsificar, y el servidor no verifica el certificado de su aplicación local (o si tiene uno para configurar el proxy https), entonces puede configurar un proxy https para monitorear el tráfico https. De lo contrario, creo que es imposible controlar el tráfico con el proxy https.

  2. Otra forma de probar es agregar la sonda de instrumentación en las rutinas de su programa de cliente donde envía y recibe mensajes de su biblioteca https. Necesita algo de trabajo de ingeniería inversa, pero debería funcionar para usted en todas las situaciones.

¿ Fiddler hace lo que quieres? :

¿Qué es Fiddler?

Fiddler es un proxy de depuración web que registra todo el tráfico HTTP (S) entre su computadora e Internet. Fiddler le permite inspeccionar todo el tráfico HTTP (S), establecer puntos de interrupción y "virar" con datos entrantes o salientes. Fiddler incluye un poderoso subsistema de scripting basado en eventos, y puede extenderse usando cualquier lenguaje .NET.

Fiddler es freeware y puede depurar el tráfico de prácticamente cualquier aplicación, incluidos Internet Explorer, Mozilla Firefox, Opera y miles más.

Recomendaría WireShark, es la mejor herramienta para seguir diferentes tramos de tráfico. Aunque no estoy seguro de qué puede ver con SSL activado. Tal vez, si le proporciona un certificado?

También deberías considerar a Charles . De la descripción del producto en el momento de esta respuesta:

Charles es un proxy HTTP / monitor HTTP / Reverse Proxy que permite a un desarrollador ver todo el tráfico HTTP y SSL / HTTPS entre su máquina e Internet. Esto incluye solicitudes, respuestas y los encabezados HTTP (que contienen las cookies y la información de almacenamiento en caché).

Wireshark definitivamente puede mostrar secuencias cifradas TLS / SSL como texto sin formato. Sin embargo, definitivamente necesitará la clave privada del servidor para hacerlo. La clave privada se debe agregar a Wireshark como una opción de SSL bajo preferencias. Tenga en cuenta que esto solo funciona si puede seguir la secuencia SSL desde el principio. No funcionará si se reutiliza una conexión SSL.

Para Internet Explorer, esto (reutilización de sesión SSL) puede evitarse borrando el estado SSL utilizando el cuadro de diálogo Opciones de Internet. Otros entornos pueden requerir reiniciar un navegador o incluso reiniciar un sistema (para evitar la reutilización de la sesión SSL).

La otra restricción clave es que se debe usar un cifrado RSA. Wireshark no puede decodificar secuencias TLS / SSL que usan DFH (Diffie-Hellman).

Asumiendo que puede cumplir con las restricciones anteriores, el comando de "Hacer clic en la secuencia SSL" funciona bastante bien.