Buscar credenciales de usuario dentro de una captura de paquetes de una sesión de gmail sobre SPDY

1

Estaba leyendo este documento sobre SSL / TLS de la sala de lectura SANS sobre cómo capturar y descifrar su propio tráfico SSL con Wireshark. Quería capturar las credenciales utilizadas para iniciar sesión en gmail. Cuando se produce el protocolo de enlace TLS, el navegador y el servidor aceptan comunicarse a través de SPDY.

SPDY es muy nuevo para mí. En el cable se ve un poco diferente a HTTP. Puedo ver los paquetes descifrados en Wireshark si los filtro por 'SPDY'. Pero simplemente no puedo precisar el paquete que contiene las credenciales. Hago una búsqueda de la cadena que contiene mi contraseña y no devuelve nada. Me pregunto si las credenciales aparecen diferentes en SPDY que en HTTP. Aunque cuando uso el complemento Live HTTP Headers definitivamente puedo ver la contraseña.

Buscando algunos consejos sobre cómo buscar credenciales de usuario dentro de una sesión de gmail a través de SPDY. Gracias!

    
pregunta user1720897 27.09.2014 - 17:35
fuente

1 respuesta

3

No soy un experto en cómo funciona el inicio de sesión de Gmail, pero supongo que se basa en cookies, que son encabezados HTTP normales.

En SPDY, los encabezados HTTP están comprimidos en gzip en el marco SYN_STREAM por conexión (no por marco), y es por eso que no puede buscar cadenas que representen valores de encabezado como puede hacerlo con HTTP simple.

Wireshark tiene un SPDY plugin que hará esta descompresión por usted (lo cual no es trivial de hacer a mano) , para que Wireshark le muestre los encabezados descomprimidos reales.

También hay una serie de videos en línea que muestran cómo descifrar el tráfico SSL y SPDY que puede buscar, y que muestran cómo Wireshark puede descomponer las tramas SPDY en un formato legible, por ejemplo éste .

    
respondido por el sbordet 27.09.2014 - 20:28
fuente

Lea otras preguntas en las etiquetas