MITM en el programa sin configuraciones de proxy

Navega tus respuestas
2

Estoy intentando inspeccionar el tráfico de un programa (que se ejecuta en mi computadora) que usa SSL sobre TCP a un puerto no estándar. El tráfico puede o no ser tráfico HTTP, probablemente no lo sea. Ni Charles ni Fiddler2 son capaces de detectar la conexión. ¿Cómo puedo ver el tráfico sin cifrar? La solución debe funcionar en Windows 7.

    
pregunta Telanor 23.11.2014 - 22:22
fuente

3 respuestas

3

Wireshark debería poder hacerlo. Sin embargo, el proceso no es tan sencillo como tendría que escanear la memoria en busca del secreto maestro.

Aquí hay un tutorial sobre cómo descifrar SSL sin acceso a la clave privada maestra.

  1. Identifique el secreto principal y la clave de sesión correspondiente. Esto se puede encontrar en la sección "Servidor Hola" del protocolo de enlace SSL.
  2. Configure Wireshark para usar el secreto maestro. Guarde la llave maestra en un archivo de texto y configure wireshark para usar el archivo secreto maestro.
  3. Descifra la sesión SSL cifrada de malware. Abra el archivo pcap, haga clic derecho en la sesión y seleccione "Seguir flujo SSL".
respondido por el limbenjamin 24.11.2014 - 04:26
fuente
1

Si el software utiliza un puerto fijo y un nombre de host en lugar de IP para conectarse, podría redirigir el tráfico a su computadora local y utilizarlo, por ejemplo ncat para eliminar y leer ssl, luego inspeccionar el tráfico en el medio. Comenta si necesitas más detalles.

    
respondido por el miniBill 24.11.2014 - 07:49
fuente
1

Burp Suite puede hacer esto al tráfico HTTP y HTTPS de MITM.

Esto es muy fácil a través de Modo de proxy invisible :

  

Normalmente, los servidores web necesitan recibir la URL completa en la primera línea   de la solicitud para determinar qué host de destino reenviar   la solicitud a (no miran el encabezado del Host para determinar el   destino). Si el proxy invisible está habilitado, cuando Burp recibe alguna   las solicitudes que no sean de tipo proxy, analizarán el contenido de la   Encabezado del host y úselo como el host de destino para esa solicitud.

     

Al usar HTTPS con un proxy, los clientes envían una solicitud CONECTAR   identificar el host de destino al que desean conectarse, y luego   Realizar negociación SSL. Sin embargo, los clientes no aptos para el proxy procederán   directamente a la negociación SSL, creyendo que se están comunicando directamente   con el host de destino. Si el proxy invisible está habilitado, Burp   tolerar la negociación directa de SSL por parte del cliente, y nuevamente analizará   el contenido del encabezado del host de la solicitud descifrada.

Por supuesto, la aplicación debería confiar en la CA raíz de Burp, y el certificado que genera automáticamente (es decir, la aplicación no está utilizando pinning y está usando raíces confiables desde el nivel del sistema operativo, no su propio).

    
respondido por el SilverlightFox 03.08.2015 - 18:05
fuente

Lea otras preguntas en las etiquetas

“Amenaza: WMA: Wimad [Susp]] en el archivo .avi, ¿es posible eliminar la amenaza y mantener el archivo? La imagen de arte al azar de Key es principalmente negra