簡體 English 中英

whatsapp使用wireshark嗅探ssl流量

[英]whatsapp sniffing ssl traffic with wireshark

原文 2013-09-17 05:37:01 3 5 networking/ ssl/ reverse-engineering/ wireshark/ whatsapp

我一直在閱讀很多關於嗅探 whatsapp 流量的文章，我已經知道 ssl 已經結束了。 但是我需要知道一旦我不知道 whatsapp 用於加密的私鑰是什么，是否有任何方法可以解密此 ssl 流量。

那么我如何才能發現正在使用哪個證書或者是否存在另一種解密這些消息的方法？

我不想閱讀任何人的聊天記錄，我的意圖實際上是通過網絡查看協議消息。 為了理解，做一個逆向工程，並為個人工作目的精心制作一個簡單的JAVA api。

我正在使用wireshark來讀取ssl流量。

whatsapp聊天的截圖

5 個解決方案

您可以使用可以生成假 SSL 證書的代理軟件嘗試中間人攻擊，但它並不總是有效。 其中一些應用程序使用證書鎖定來防止這種類型的攻擊。

HTTP代理：
http://fiddler2.com/get-fiddler
如果應用程序允許，該軟件會生成一個明顯的假證書，您可以接受該證書。

證書固定：
https://security.stackexchange.com/questions/29988/what-is-certificate-pinning

除非您控制服務器（RSA 身份驗證套件的私鑰、服務器應用程序或程序內存）或客戶端（應用程序或內存）（好吧，或者兩者都協商弱密碼，但這是不同的主題），否則您無法解密消息

對於服務器和客戶端來說，最簡單但最具侵入性且最容易發現的方法： ssl/tls man-in-the-middle with fake certs 。 由於這會更改客戶端應用程序看到的服務器證書，因此客戶端應用程序可能會拒絕連接（證書固定、硬固定）。 如果沒有，對您有好處，您可以控制服務器，您可以訪問協商密鑰。

為什么？ 客戶端和服務器都協商一個共享的主密鑰，它們從中派生出一組客戶端和服務器會話密鑰（使用在相應的 rfc 中指定的 tls prf，例如 rfc2246 - tls1.0）。

也就是說，如果您不想或不能弄亂服務器並且您可以訪問客戶端進程，您可以以某種方式找到一種方法從內存中提取主密鑰並重新計算客戶端/服務器會話密鑰，如rfc。 提取可以通過調試應用程序、搜索內存工件或修補它並隨后解密協議消息來完成。 請注意，主密鑰時不時地重新生成，因此您還必須跟蹤導致主密鑰協商的客戶端 hello（客戶端隨機）或確切時間，以便使 wireshark 將密鑰與重新協商匹配。 密鑰僅對該客戶端會話有效，您可以解密不限於 RSA 身份驗證的密碼，因為主密鑰是雙方在 tls 密鑰協商完成后同意的最終秘密。

一旦您擁有主密鑰並將其映射到客戶端 hellos，您就可以將它以nss keylog 格式輸入到wireshark 中。

以下是如何在內存中查找 master_key 的示例： pymemscrape是一個 PoC，演示了如何從進程內存映像中查找 master_key。

使用會話密鑰日志記錄，您可以訪問會話的密鑰。 之后，wireshark 可以用它解析數據包。

在機器上啟用會話日志記錄。
對於 Windows：“高級系統設置”->“環境變量”
添加名稱為“SSLKEYLOGFILE”的新變量和指定的文件 /path/to/sslkeylog.log。
Linux、MAC 操作系統：
$ export SSLKEYLOGFILE=~/path/to/sslkeylog.log
將會話日志文件添加到 Wireshark
編輯 -> 首選項 -> 協議 -> 選擇 SSL
將“sslkeylog.log”文件瀏覽到 (Pre) -Master-Secret 日志文件名，然后保存。