¿Cómo puedo extraer el certificado de este archivo pcap?

1

Tengo un archivo pcap de 14 paquetes SSL rastreados. Lo subí aquí:

ssl.pcap

Lo abrí con wireshark. Veo los 14 paquetes. El mayor de ellos parece contener un certificado autofirmado (ya que está hecho en un tutorial popular en Internet). Veo que el paquete contiene pruebas como "Some-state" e "Intenet Widgets Pty Ltd" ... ¿Cómo puedo extraer el certificado real (tal vez en formato crt?

    
pregunta Kenyakorn Ketsombut 21.05.2016 - 05:44
fuente

3 respuestas

10

Con nuevas versiones de wireshark:

  • Asegúrese de que el tráfico se decodifique como SSL, es decir, configure el analizador SSL para esta secuencia de TCP en Analyze >> Decode As . Ahora mostrará los detalles de SSL para los paquetes.
  • Elija el paquete que contiene el certificado, en este caso el paquete 6.
  • En los detalles del paquete, expanda Secure Socket Layer, etc., hasta que obtenga el certificado:

  • Use el menú contextual (clic con el botón derecho) y guarde los datos en bruto del certificado con Export Packet Bytes en un archivo, por ejemplo, cert.der .
  • Con openssl x509 -inform der -in cert.der -text puede ver el certificado, con openssl x509 -inform der -in cert.der -outform pem -out cert.crt puede convertirlo en formato PEM (es decir, lo que quiere decir con formato crt).
respondido por el Steffen Ullrich 21.05.2016 - 07:22
fuente
1

Prueba Network Miner

Ejecute el archivo PCAP a través de Network Miner . Extrae certificados y otros tipos de archivos.

    
respondido por el StackzOfZtuff 21.05.2016 - 08:12
fuente
0

De forma nativa, a través de Wireshark :

  

Cómo obtener el certificado SSL de una captura de paquetes de Wireshark:

     
  1. En el menú de Wireshark, elija Editar > Preferencias y asegúrese de que "Permitir que el subdisector vuelva a ensamblar flujos TCP" esté marcado en el TCP   preferencias de protocolo
  2.   
  3. Busque "Certificado, Servidor Hola" (o Cliente Hola si es un certificado del lado del cliente que está interesado en obtener).
  4.   
  5. En el panel de detalles del paquete, expanda el protocolo Secure Sockets Layer
  6.   
  7. Expanda el campo "Capa de registro TLSv1: Protocolo de protocolo de enlace: Certificado"
  8.   
  9. Expanda el campo "Protocolo de protocolo de enlace: Certificado"
  10.   
  11. Expandir la lista de certificados. Puede haber uno o más certificados dependiendo de si existe una cadena de confianza. los   El primer certificado es el certificado del servidor, el segundo es la firma   Autoridad de Certificación, la tercera CA que confió / firmó que   Autoridad de certificación y así sucesivamente.
  12.   
  13. Haga clic con el botón derecho en el certificado que desea obtener, luego seleccione "Exportar paquetes de paquetes seleccionados ..." y nombre el archivo con un .der   extensión.
  14.   

Alternativamente , herramientas como ssldump o Network Miner (y, sin duda, otros) se pueden usar.

    
respondido por el HopelessN00b 21.05.2016 - 06:31
fuente

Lea otras preguntas en las etiquetas