Questão:
How can I extract the certificate from this pcap file?
Kenyakorn Ketsombut
2016-05-21 08:44:24 UTC
view on stackexchange narkive permalink

Eu tenho um arquivo pcap com 14 pacotes SSL detectados. Eu carreguei aqui:

ssl.pcap

Eu abri com o wirehark. Eu vejo os 14 pacotes. O maior de parece conter um certificado autoassinado (visto que é feito em um tutorial popular na Internet). Vejo que o pacote contém testes como "Some-state" e "Intenet Widgets Pty Ltd" ... Como posso realmente extrair o certificado real (talvez no formato crt?

Trzy respostas:
Steffen Ullrich
2016-05-21 10:22:08 UTC
view on stackexchange narkive permalink

Com novas versões do WireShark:

  • Certifique-se de que o tráfego seja decodificado como SSL, ou seja, configure o analisador SSL para este fluxo TCP em Analyze >> Decode As . Agora ele mostrará os detalhes de SSL para os pacotes.
  • Escolha o pacote que contém o certificado, neste caso o pacote 6.
  • Nos detalhes do pacote expanda Secure Socket Layer etc até você obter o próprio certificado:

Screenshot from Wireshark, Certificate selected

  • Use o menu de contexto (clique com o botão direito) e salve os dados brutos do certificado com Export Packet Bytes para um arquivo, por exemplo cert.der.
  • Com openssl x509 -inform der -in cert .der -text você pode dar uma olhada no certificado, com openssl x509 -inform der -in cert.der -outform pem -out cert.crt você pode convertê-lo em um PEM formato (ou seja, o que você quer dizer com formato crt).
HopelessN00b
2016-05-21 09:31:32 UTC
view on stackexchange narkive permalink

Nativamente, através do Wireshark:

Como obter o certificado SSL de uma captura de pacote Wireshark:

  1. Do Wireshark menu escolha Editar> Preferências e certifique-se de que “Permitir subdissetor para remontar fluxos TCP” esteja marcado nas preferências de protocolo TCP
  2. Encontre “Certificado, Servidor Hello” (ou Cliente Hello se for um certificado do lado do cliente que você está interessado em obter.
  3. No painel de detalhes do pacote, expanda o protocolo Secure Sockets Layer
  4. Expanda o campo “Camada de registro TLSv1: Protocolo de handshake: Certificado”
  5. Expanda o campo “Protocolo de handshake: Certificado”
  6. Expanda a lista de certificados. Pode haver um ou mais certificados, dependendo da presença de uma cadeia de confiança. O primeiro certificado é o certificado do servidor, o a segunda é a Autoridade de certificação de assinatura, a terceira a CA que confiou / assinou essa Autoridade de certificação e assim por diante.
  7. Clique com o botão direito do mouse no cer certificado que deseja obter, escolha “Exportar bytes de pacote selecionados…” e nomeie o arquivo com uma extensão .der.

Como alternativa, ferramentas como ssldump ou Network Miner (e, sem dúvida, outros) podem ser usados.

Eu tentei isso.Mas esta instrução é muito antiga e não funciona mais.A opção SSL que será usada na etapa 3 não está mais disponível.Além disso, tenho certeza de que outras ferramentas podem ser usadas.possivelmente até grep.Mas isso não responde à pergunta "como"?
StackzOfZtuff
2016-05-21 11:12:26 UTC
view on stackexchange narkive permalink

Experimente o Network Miner

Execute o arquivo PCAP através do Network Miner. Ele extrai certificados e outros tipos de arquivo.



Estas perguntas e respostas foram traduzidas automaticamente do idioma inglês.O conteúdo original está disponível em stackexchange, que agradecemos pela licença cc by-sa 3.0 sob a qual é distribuído.
Loading...