it-swarm.com.de

Wie kann ich das Zertifikat aus dieser PCAP-Datei extrahieren?

Ich habe eine PCAP-Datei mit 14 geschnüffelten SSL-Paketen. Ich habe es hier hochgeladen:

ssl.pcap

Ich öffnete es mit Wireshark. Ich sehe die 14 Pakete. Das größte scheint ein selbstsigniertes Zertifikat zu enthalten (wie es in einem populären Internet-Tutorial erstellt wurde). Ich sehe, dass das Paket Tests wie "Some-State" und "Intenet Widgets Pty Ltd" enthält ... Wie kann ich das echte Zertifikat tatsächlich extrahieren (möglicherweise im CRT-Format ?

4

Mit neuen Versionen von Wireshark:

  • Stellen Sie sicher, dass der Datenverkehr als SSL dekodiert ist, d. H. Richten Sie den SSL-Analysator für diesen TCP Stream in Analyze >> Decode As Ein. Jetzt werden die SSL-Details für die Pakete angezeigt.
  • Wählen Sie das Paket aus, das das Zertifikat enthält, in diesem Fall Paket 6.
  • Erweitern Sie in den Paketdetails Secure Socket Layer usw., bis Sie zum Zertifikat selbst gelangen:

(Screenshot from Wireshark, Certificate selected

  • Verwenden Sie das Kontextmenü (Rechtsklick) und speichern Sie die Rohdaten des Zertifikats mit Export Packet Bytes In einer Datei, zum Beispiel cert.der.
  • Mit openssl x509 -inform der -in cert.der -text Können Sie sich das Zertifikat ansehen, mit openssl x509 -inform der -in cert.der -outform pem -out cert.crt Können Sie es in ein PEM-Format konvertieren (d. H. Was Sie mit CRT-Format meinen).
13
Steffen Ullrich

Nativ über Wireshark :

So erhalten Sie das SSL-Zertifikat von einer Wireshark-Paketerfassung:

  1. Wählen Sie im Menü "Wireshark" die Option "Bearbeiten"> "Einstellungen" und stellen Sie sicher, dass in den Protokolleinstellungen TCP "die Option" Subdissektor wieder zusammensetzen lassen TCP Streams zulassen ") aktiviert ist
  2. Suchen Sie nach "Zertifikat, Server-Hallo" (oder "Client-Hallo", wenn es sich um ein clientseitiges Zertifikat handelt, das Sie erhalten möchten.
  3. Erweitern Sie im Paketdetailbereich das Secure Sockets Layer-Protokoll
  4. Erweitern Sie das Feld "TLSv1-Datensatzschicht: Handshake-Protokoll: Zertifikat"
  5. Erweitern Sie das Feld "Handshake-Protokoll: Zertifikat"
  6. Erweitern Sie die Liste der Zertifikate. Je nachdem, ob eine Vertrauenskette vorhanden ist, können ein oder mehrere Zertifikate vorhanden sein. Das erste Zertifikat ist das Serverzertifikat, das zweite ist die signierende Zertifizierungsstelle, das dritte die Zertifizierungsstelle, die dieser Zertifizierungsstelle vertraut/signiert hat, und so weiter.
  7. Klicken Sie mit der rechten Maustaste auf das Zertifikat, das Sie erhalten möchten, und wählen Sie "Ausgewählte Paketbytes exportieren ...". Benennen Sie die Datei mit der Erweiterung .der.

Alternativ , Tools wie ssldump oder Network Miner (und zweifellos andere) können verwendet werden.

1
HopelessN00b

Versuchen Sie Network Miner

Führen Sie die PCAP-Datei über Network Miner aus. Es extrahiert Zertifikate und andere Dateitypen.

1
StackzOfZtuff