¿Podemos descifrar el tráfico HTTPS / SSL capturado (Meterpreter) con las claves de la memoria?

Sí, puede extraer las claves. La clave privada y la clave simétrica están presentes en la memoria de la biblioteca criptográfica (por ejemplo, OpenSSL). Debe extraer la clave simétrica para descifrar el tráfico TLS. OpenSSL mantiene esto en la estructura SSL->session->master_key . Si no sabe exactamente qué biblioteca se está utilizando, un método simple de fuerza bruta sería extraer todos los buffers del tamaño apropiado de la memoria e intentar descifrar la secuencia TLS con cada uno hasta que tenga éxito.

También puede usar GDB, como se describe en Extraer pre -las claves maestras de una aplicación OpenSSL , que pueden proporcionarle el secreto pre-maestro que puede conectar a Wireshark. Si bien esa respuesta se centra en los volcados de memoria en vivo, debería funcionar igual de bien si tiene un volcado de núcleo. Use Volatility para volcar la memoria de proceso que está vinculada a la biblioteca TLS, en la que puede usar GDB. Si OpenSSL no está compilado con símbolos de depuración, es posible que tenga que recurrir a un método de fuerza bruta.

Depende en cierta medida del tipo de datos que aún tenga en su memoria y de las características TLS negociadas durante el protocolo de enlace. Wireshark puede ayudarlo a descifrar el tráfico si puede proporcionarlo, por ejemplo, el secreto maestro del canal TLS.