Dekodovaní SSL Wiresharku z dat Charles proxy (SSLKEYLOGFILE?)

Pit

  • ****
  • 425
    • Zobrazit profil
    • karlos.cz
    • E-mail
Content-Disposition: form-data; name="message"

Mám otázečku, když chci v wiresharku dekodovat TLS TRAFFIC (který šel přes Charles proxy, kde ho vidím rozkodovaný, ale chci to zkusit ve wiresharku, -- se znalostí dat, co má charles proxy ,který by měl mít v paměti nebo uloženém souboru potřebná data jako Privátní klíč certifikátu nebo spíš  speciálně generovaný náhodný klíč v případě forward secrecy algoritmů ) , k čemu slouží v preferences |Protocols| SSL jednotlivá pole:
RSA Keys List (tabulka IP, port, protocol,  Key file, password)
SSL debug file (Browse - Save as) asi pro zápis, tudíž evidentně ne
Pre-master-secret log file name (Browse)

Mám tomu rozumět, že jde o 2 způsoby, kdy první je takový statický, že tam zadávám kombinace serverů a jejich klíče a druhá je taková auto, že tam prostě dám cestu k keylogfile a WS si to sám rozklíčuje? Umí Charles proxy obojí?

Za druhé, kde tyto vstupní data pro Wireshark získám v charles proxy? Předpokládám nabídka Help -- SSL proxying. Volba export server root cert + priv.key.

K čemu slouží z stejné nabídky (proxying) volba view certificate keystore  password ( 40 hexadec znaků) ? je to to co vložím do wiresharku do password?

Samozřejmě jsem zachytával na rozhraní bridge .




samostatné otázky:
-Proč se to nazývá RSA key list, opravdu je to jen na RSA? nebo jen to není přejmenované (jako ostatně SSL - <TLS)
- V charles proxy vidím u requestů (1) (PROXY <-> server)typ šifry (TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) - ale zajímalo by mě jaká šifra byla použita mezi (2) (PROXY <->Klient) ze zvadavosti. To vidím v políčku Cipher suite - charles  to client.  Používá se stejný cipher suite mezi oběma cestami nutně?
----


Re:Dekodovaní SSL Wiresharku z dat Charles proxy (SSLKEYLOGFILE?)
« Odpověď #1 kdy: 08. 01. 2020, 07:17:56 »
charles proxy neznam.
do wiresharku muzete nahrat privatni klic RSA a wireshark pak umi zobrazit TLS/SSL komunikaci.

pokud ma ten charles proxy nejake dalsi veci nad zakladnim SSL/TLS  tak to uz wireshark
sam neumi, jedine si napsat vlastni dissector.

Pit

  • ****
  • 425
    • Zobrazit profil
    • karlos.cz
    • E-mail
Re:Dekodovaní SSL Wiresharku z dat Charles proxy (SSLKEYLOGFILE?)
« Odpověď #2 kdy: 08. 01. 2020, 11:47:16 »
Jenom vysvětlím, proč to chci, když přeci v charles proxy traffic vidím. Potřebuji vidět i problémovou  nefunkční komunikaci na jiné doménová jména (momentálně mi jde současně komunikovat jen na jeden HTTPS server nebo lépe řečeno skupinu virtual serverů na jedné IP), která mi zatím v charles proxy nejde a ukazuje se jako unknown nebo connection refused nebo to  400 Bad request nebo 404 Not found, protože požadavky z klienta na jiný server ve skutečnosti jdou furt na jednu a tu samou IP.

robac

  • ***
  • 158
    • Zobrazit profil
    • E-mail
Re:Dekodovaní SSL Wiresharku z dat Charles proxy (SSLKEYLOGFILE?)
« Odpověď #3 kdy: 08. 01. 2020, 12:24:26 »
Jenom vysvětlím, proč to chci, když přeci v charles proxy traffic vidím. Potřebuji vidět i problémovou  nefunkční komunikaci na jiné doménová jména (momentálně mi jde současně komunikovat jen na jeden HTTPS server nebo lépe řečeno skupinu virtual serverů na jedné IP), která mi zatím v charles proxy nejde a ukazuje se jako unknown nebo connection refused nebo to  400 Bad request nebo 404 Not found, protože požadavky z klienta na jiný server ve skutečnosti jdou furt na jednu a tu samou IP.
Jako obvykle podáváte místo pochopitelných informací chaotický mišmaš - mně osobně je to fuk, ale myslím, že pokud byste se snažil dotaz formulovat nějakým uceleným způsobem (v tomto případě třeba o jakou jde aplikaci/technologii, servery/load balancery, klienty/OS atp.) a případně si ho po sobě i přečetl a posoudil, jestli je pochopitelný i pro čitatele, který vůbec nemá šajn, co se snažíte vyřešit, tak by se i značně zvýšila pravděpodobnost, že Vám tady někdo poradí.

Každopádně, pokud Vám aplikace (browser, nějaká známá aplikace nebo Váš program ???) komunikuje se špatnou IP, tak bych se místo dešifrování provozu zaměřil na klienta (DNS, samotná aplikace).

Pit

  • ****
  • 425
    • Zobrazit profil
    • karlos.cz
    • E-mail
Re:Dekodovaní SSL Wiresharku z dat Charles proxy (SSLKEYLOGFILE?)
« Odpověď #4 kdy: 08. 01. 2020, 12:39:08 »
Ano, tak jsem to myslel a uvedl jsem to jen v kostce, jen aby bylo vědět, k čemu chci analyzovat traffic
PS: a problém rozhodně není v klientovi (klasický webový browser) dostane správné DNS údaje a komunikuje se správnou IP. Musel jsem použít redirect trafficu v firewallu rovnák na ohejbák + rerverzní proxy