web-dev-qa-db-fra.com

Comment puis-je extraire le certificat de ce fichier pcap?

J'ai un fichier pcap de 14 paquets SSL reniflés. Je l'ai téléchargé ici:

ssl.pcap

Je l'ai ouvert avec Wireshark. Je vois les 14 paquets. Le plus grand semble contenir un certificat auto-signé (comme il est fait dans un tutoriel Internet populat). Je vois que le paquet contient des tests comme "Some-state" et "Intenet Widgets Pty Ltd" ... Comment puis-je réellement extraire le vrai certificat (peut-être au format crt?

tlssnifferwiresharkpacket
4
Kenyakorn Ketsombut

Avec les nouvelles versions de Wireshark:

  • Assurez-vous que le trafic est décodé en SSL, c'est-à-dire configurez l'analyseur SSL pour ce flux TCP dans Analyze >> Decode As. Maintenant, il affichera les détails SSL pour les paquets.
  • Choisissez le paquet qui contient le certificat, dans ce cas le paquet 6.
  • Dans les détails du paquet, développez Secure Socket Layer, etc. jusqu'à ce que vous obteniez le certificat lui-même:

Screenshot from Wireshark, Certificate selected

  • Utilisez le menu contextuel (clic droit) et enregistrez les données brutes du certificat avec Export Packet Bytes dans un fichier, par exemple cert.der.
  • Avec openssl x509 -inform der -in cert.der -text vous pouvez consulter le certificat, avec openssl x509 -inform der -in cert.der -outform pem -out cert.crt vous pouvez le convertir au format PEM (c'est-à-dire ce que vous entendez par format crt).
13
Steffen Ullrich

nativement, via Wireshark :

Comment obtenir le certificat SSL à partir d'une capture de paquets Wireshark:

  1. Dans le menu Wireshark, choisissez Edition> Préférences et assurez-vous que "Autoriser le sous-dissecteur à réassembler TCP streams") est coché dans les préférences de protocole TCP
  2. Recherchez "Certificate, Server Hello" (ou Client Hello s'il s'agit d'un certificat côté client que vous souhaitez obtenir.
  3. Dans le volet de détails des paquets, développez le protocole Secure Sockets Layer
  4. Développez le champ "TLSv1 Record Layer: Handshake Protocol: Certificate"
  5. Développez le champ "Protocole de prise de contact: certificat"
  6. Développez la liste des certificats. Il peut y avoir un ou plusieurs certificats selon qu'une chaîne de confiance est présente. Le premier certificat est le certificat du serveur, le second est l'autorité de certification signataire, le troisième l'autorité de certification qui a approuvé/signé cette autorité de certification, etc.
  7. Faites un clic droit sur le certificat que vous souhaitez obtenir puis choisissez "Exporter les octets de paquets sélectionnés…" et nommez le fichier avec une extension .der.

Alternativement , des outils comme ssldump ou Network Miner (et sans aucun doute d'autres) peuvent être utilisés.

1
HopelessN00b

Essayez Network Miner

Exécutez le fichier PCAP via Network Miner . Il extrait les certificats et autres types de fichiers.

1
StackzOfZtuff