MITM mis propias conexiones SSL con, por ejemplo, Wirehark - sin proxy

Navega tus respuestas
2

Me gustaría investigar el tráfico SSL (https?) que proviene de una de mis computadoras. El problema es que no sé a ciencia cierta de qué programa proviene, y lo más probable es que no pueda usar un proxy (por lo que las herramientas como Fiddler o Charles no funcionarán). Sin embargo, creo que el programa que crea el tráfico no comprueba la validez de los certificados. Incluso si lo hace, es muy probable que respete el almacén de certificados del sistema, por lo que podría poner mi propia raíz allí.

¿Puedo hacer Wirehark (o cualquier herramienta similar) de alguna manera aceptar cada conexión SSL con un certificado falso, desempaquetar y mostrarme los datos y luego abrir otra conexión SSL con el host remoto? Preferiblemente esta técnica debería funcionar en Windows.

(Otras preguntas similares en este sitio suponen que puedo configurar el programa para que sea MITMed (configurando un proxy) o que puedo capturar algunos secretos de las sesiones SSL. Quiero inyectar certificados falsos en todas las conexiones SSL salientes , vivir.)

    
pregunta jdm 08.04.2016 - 20:45
fuente

2 respuestas

3

Wireshark solo no hace eso, solo puede vigilar el tráfico si ya tiene conocimiento de las claves / certificados para descifrar el tráfico en la conexión TLS. Hay un tipo de proxy, un proxy transparente, que las aplicaciones deben usar porque se encuentran en el puerto 80/443 de la puerta de enlace y simplemente interceptan todo el tráfico. Este sería el enfoque que necesita si quiere estar al tanto del tráfico involucrado en su aplicación misteriosa.

Si quisieras quedarte con Wireshark, podrías usar un simple proxy transparente (con algo como Squid) para entregar tu propio certificado y luego ver el tráfico y dejar que wireshark lo descifre. Hay tutoriales pero es un poco complejo.

Lo que desea está incluido en un solo producto llamado Burp Suite, le permitirá interceptar el tráfico (actuando como un proxy transparente que la aplicación no puede ignorar) inyectar su propio certificado, ver las conversaciones resultantes, etc.

Consulte la página del producto para obtener más información: enlace

    
respondido por el Jeff Meden 08.04.2016 - 22:04
fuente
1

Para evitar el problema del proxy, existe una falsificación ARP disponible.

MiTM el ssl, hay sslstrip.

Hay un montón de tutoriales sobre cómo funciona.

Si, sin embargo, el certificado se valida, no tendrá suerte.

Como Steffen señaló en los comentarios, no hay forma de hacer a Wirehark - ser un sniffer pasivo sniff activo

Sin embargo, el tutorial que vinculé usa otro rastreador que funcionará igual de bien, probablemente.

    
respondido por el Tobi Nary 08.04.2016 - 21:13
fuente

Lea otras preguntas en las etiquetas

¿Cómo puedo realizar pruebas de penetración en VirtualBox? ¿Qué es OSINT (inteligencia de código abierto)?