Tråd bedømmelse:
  • 0 Stemmer - 0 Gennemsnit
  • 1
  • 2
  • 3
  • 4
  • 5
WIRESHARK HJÆLP! (Dekryptering af SSL trafik)
28-12-2018, 15:12 (Denne besked var sidst ændret: 28-12-2018, 15:15 af B3CH.)
#1
WIRESHARK HJÆLP! (Dekryptering af SSL trafik)
Hej Shellsec.

Så jeg er begyndt at rode mig lidt ud i Wireshark som værktøj når jeg skal reverse engineerer. Jeg har før brugt Charles og fiddler til at analysere nemme HTTP requests men nu vil jeg analysere et POST request som jeg ikke umiddelbart kan se i Charles og fiddler.
Det drejer sig om spillet dofus.com's client. Deres client opererer under login med en SSL connection på port 443, aka http protokol. 


Jeg er i stand til at se forskellige packets ved at "follow SSL/TCP stream", så det eneste jeg mangler er at dekryptere den TCP/SSL stream.
I kan se streamen nedenfor:
[Billede: ehi9LBA.png]
Her kan i også se at noget af min data ikke er blevet krypteret, for eksempel: "netzo666"=login userbame, "NETZO-SAMAAA" = ingame navn, "¿Cuál es mi bebida preferida?" = security question på min account. 
Så det er altså tydeligt at der bliver udvekslet nogle informationer her.

Nu kommer mit problem bare, som i kan se på streamen her kan jeg ikke læse noget af det og vil gerne dekryptere det. 

Så vidt jeg kan forstå, så for at jeg kan dekryptere det skal jeg bruge en private key fra serveren selv. Den key har jeg ikke, og den kan jeg ikke få på andre måder end selv at bruteforce mig igennem en masse muligheder indtil den matcher med public key.

Mit andet peovlem er at jeg ikke ved hvor jeg kan finde den public key til denne SSL/TCP stream. 

Så for lige at summe det op:
Mit problem er at jeg ikke kan se de HTTP requests der bliver sendt fra dofus client. De er krypteret, og jeg vil gerne dekryptere dem. Det kan gøres via en private key som jeg ikke har adgang til. Jeg kan bruteforce mig til private key'en hvis jeg har public key'en men den ved jeg ikke hvor jeg kan se i Wireshark. Så:
1. Find public key.
2. Bruteforce private key.
3. Dekryptering af stream.


Derudover skal det lige siges at jeg godt er klar over at hvis det er en stor public key, så er det umuligt.

Stil endelig spørgsmål, sorry hvis det var lidt rodet.
Besøg denne brugers hjemmeside Find alle beskeder fra denne bruger
Citer denne besked i et svar
« Ældre | Nyere »




User(s) browsing this thread: 1 Gæst(er)