Dekodovaní SSL Wiresharku z dat Charles proxy (SSLKEYLOGFILE?)

[Ħαℓ₸℮ℵ ␏⫢ ⦚ »]

Content-Disposition: form-data; name="message"

Mám otázečku, když chci v wiresharku dekodovat TLS TRAFFIC (který šel přes Charles proxy, kde ho vidím rozkodovaný, ale chci to zkusit ve wiresharku, -- se znalostí dat, co má charles proxy ,který by měl mít v paměti nebo uloženém souboru potřebná data jako Privátní klíč certifikátu nebo spíš  speciálně generovaný náhodný klíč v případě forward secrecy algoritmů ) , k čemu slouží v preferences |Protocols| SSL jednotlivá pole:
RSA Keys List (tabulka IP, port, protocol,  Key file, password)
SSL debug file (Browse - Save as) asi pro zápis, tudíž evidentně ne
Pre-master-secret log file name (Browse)

Mám tomu rozumět, že jde o 2 způsoby, kdy první je takový statický, že tam zadávám kombinace serverů a jejich klíče a druhá je taková auto, že tam prostě dám cestu k keylogfile a WS si to sám rozklíčuje? Umí Charles proxy obojí?

Za druhé, kde tyto vstupní data pro Wireshark získám v charles proxy? Předpokládám nabídka Help -- SSL proxying. Volba export server root cert + priv.key.

K čemu slouží z stejné nabídky (proxying) volba view certificate keystore  password ( 40 hexadec znaků) ? je to to co vložím do wiresharku do password?

Samozřejmě jsem zachytával na rozhraní bridge .




samostatné otázky:
-Proč se to nazývá RSA key list, opravdu je to jen na RSA? nebo jen to není přejmenované (jako ostatně SSL - <TLS)
- V charles proxy vidím u requestů (1) (PROXY <-> server)typ šifry (TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) - ale zajímalo by mě jaká šifra byla použita mezi (2) (PROXY <->Klient) ze zvadavosti. To vidím v políčku Cipher suite - charles  to client.  Používá se stejný cipher suite mezi oběma cestami nutně?
----

[Reklama]

[alex6bbc]

charles proxy neznam.
do wiresharku muzete nahrat privatni klic RSA a wireshark pak umi zobrazit TLS/SSL komunikaci.

pokud ma ten charles proxy nejake dalsi veci nad zakladnim SSL/TLS  tak to uz wireshark
sam neumi, jedine si napsat vlastni dissector.

[Ħαℓ₸℮ℵ ␏⫢ ⦚ »]

Jenom vysvětlím, proč to chci, když přeci v charles proxy traffic vidím. Potřebuji vidět i problémovou  nefunkční komunikaci na jiné doménová jména (momentálně mi jde současně komunikovat jen na jeden HTTPS server nebo lépe řečeno skupinu virtual serverů na jedné IP), která mi zatím v charles proxy nejde a ukazuje se jako unknown nebo connection refused nebo to  400 Bad request nebo 404 Not found, protože požadavky z klienta na jiný server ve skutečnosti jdou furt na jednu a tu samou IP.

[robac]

Jenom vysvětlím, proč to chci, když přeci v charles proxy traffic vidím. Potřebuji vidět i problémovou  nefunkční komunikaci na jiné doménová jména (momentálně mi jde současně komunikovat jen na jeden HTTPS server nebo lépe řečeno skupinu virtual serverů na jedné IP), která mi zatím v charles proxy nejde a ukazuje se jako unknown nebo connection refused nebo to  400 Bad request nebo 404 Not found, protože požadavky z klienta na jiný server ve skutečnosti jdou furt na jednu a tu samou IP.

Jako obvykle podáváte místo pochopitelných informací chaotický mišmaš - mně osobně je to fuk, ale myslím, že pokud byste se snažil dotaz formulovat nějakým uceleným způsobem (v tomto případě třeba o jakou jde aplikaci/technologii, servery/load balancery, klienty/OS atp.) a případně si ho po sobě i přečetl a posoudil, jestli je pochopitelný i pro čitatele, který vůbec nemá šajn, co se snažíte vyřešit, tak by se i značně zvýšila pravděpodobnost, že Vám tady někdo poradí.

Každopádně, pokud Vám aplikace (browser, nějaká známá aplikace nebo Váš program ) komunikuje se špatnou IP, tak bych se místo dešifrování provozu zaměřil na klienta (DNS, samotná aplikace).

[Ħαℓ₸℮ℵ ␏⫢ ⦚ »]

Ano, tak jsem to myslel a uvedl jsem to jen v kostce, jen aby bylo vědět, k čemu chci analyzovat traffic
PS: a problém rozhodně není v klientovi (klasický webový browser) dostane správné DNS údaje a komunikuje se správnou IP. Musel jsem použít redirect trafficu v firewallu rovnák na ohejbák + rerverzní proxy

[Reklama]