Wireshark Trace que contiene SSL RSA con RC4 128 md5

1

Pensé que sería una buena idea hacer una captura de Wirehark en mi propio inicio de sesión en un sitio web e intentar averiguar dónde está el paquete que contiene la contraseña y descifrarlo.

Así que inicié sesión en un sitio web que utiliza SSL RSA con RC4 128 md5 para cifrar la contraseña. No le pido a alguien que me diga qué hacer exactamente, eso sería genial, pero me gustaría recibir algunos consejos sobre cómo encontrarlo y cómo descifrarlo.

(Ya conozco la contraseña en texto sin formato, ya que es mía, pero, por supuesto, no está en texto sin formato en el rastro de wirehark)

Tengo el hash MD5 estándar de mi contraseña e intenté encontrarlo en el rastreo, pero no aparece. No sé cómo SSL RSA cifra la contraseña, así que no estoy seguro de lo que estoy buscando exactamente.

Gracias de antemano.

    
pregunta BubbleMonster 18.08.2013 - 21:31
fuente

2 respuestas

2

¡Vaya! No puedes hacer eso.

¿Por qué?

No puede descifrar el volcado de wirehark sin tener la clave privada correspondiente al certificado ssl del servidor.

Si tiene la clave privada correspondiente del certificado SSL, entonces con el último alámbrico.

Ir a Editar- > Preferencias - > Protocolo - > SSL - > Lista de claves RSA - > Edite, proporcione la IP del servidor, el Protocolo como HTTP y el SSL PFX y su contraseña, y haga clic en APLICAR y OK.

    
respondido por el Arun 19.08.2013 - 07:39
fuente
1

Para obtener una descripción de cómo funciona SSL, consulte esta respuesta . Para resumir, SSL comienza con un procedimiento especial llamado handshake en el que el cliente y el servidor intercambian "mensajes de handshake". Hay una gran cantidad de criptografía involucrada, en el sentido de que al final del protocolo de enlace, el cliente y el servidor comparten un valor secreto común específico de la sesión, del cual derivan claves para el cifrado y las verificaciones de integridad de los datos en ambas direcciones. El punto de SSL es establecer un túnel bidireccional para datos arbitrarios; que "datos arbitrarios" se denomina datos de aplicación en terminología SSL.

HTTPS es "HTTP dentro de SSL": primero se hace un protocolo SSL; y luego, el tráfico HTTP simple (las solicitudes HTTP con sus encabezados y las respuestas correspondientes) se transmiten como "datos de aplicación" a través del túnel SSL. Cuando un sitio web requiere autenticación del cliente, este proceso ocurre en el nivel HTTP, por lo tanto, desde el punto de vista de SSL, como "datos de aplicación". La contraseña del usuario será parte de los datos de la aplicación.

Sin embargo, todos los datos de la aplicación están cifrados, ya que para eso fue diseñado SSL. Como un extraño, no podrás leerlo, porque ese es el punto principal de SSL. SSL protege el tráfico cliente-servidor contra los espías, incluido usted mismo. No verá nada excepto "datos de aplicación cifrados".

Para "ver" el tráfico interno, las solicitudes y respuestas de HTTP (y, por lo tanto, el nombre de usuario y la contraseña que contiene), debe atravesar la capa SSL; Wireshark puede hacer eso, pero solo si le da una copia de la clave privada del servidor (la clave privada del servidor puede no ser suficiente para eso, cuando el cliente y el servidor acuerdan un conjunto de cifrado "DHE", pero esa no es la situación que te encuentras). Consulte esta página para obtener algunos documentos. Sería bastante alarmante si fuera posible atravesar SSL sin un acceso privilegiado a al menos algunos datos secretos del lado del cliente o del servidor ...

    
respondido por el Thomas Pornin 21.08.2013 - 14:52
fuente

Lea otras preguntas en las etiquetas