Sniffer du trafic SSL

Le
Kevin Denis
Bonjour,

une application me donne du fil a retordre et je souhaite sniffer ses
échanges réseaux.
Or, il s'agit d'un flux SSL d'un protocole propriétaire, avec authent
par certificats.

A l'aide d'openssl s_client, je parvicens bien a me connecter avec
succès à l'application:
openssl s_client -host $HOST -port $PORT -state -showcerts -debug
-ssl3 -key userkey.pem -cert usercert.pem

Mais systématiqument, tout ce que j'envoie à l'application par la suite
ne fonctionne pas. J'ai intuité pas mal de trucs, mais pas moyen
d'envoyer les bonnes séquences.

Je souhaite donc utiliser le client normal, et sniffer les échanges pour
regarder quelles sont les informations envoyées, et dans quel ordre.

Mais comment faire pour sniffer ce flux? ethereal ne m'affiche que du
flux chiffré, forcément.

Comment intercaler un filtre dans le dialogue normal?

Je ne suis pas sur d'être dans le bon groupe, si c'est le cas, merci
de me rediriger.

Merci
--
Kevin
Questions / Réponses high-tech
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le Forgeron
Le #2976261
Le 13.04.2008 14:31, Kevin Denis nous fit lire :
Bonjour,

une application me donne du fil a retordre et je souhaite sniffer ses
échanges réseaux.
Or, il s'agit d'un flux SSL d'un protocole propriétaire, avec authent
par certificats.

Je souhaite donc utiliser le client normal, et sniffer les échanges pour
regarder quelles sont les informations envoyées, et dans quel ordre.

Mais comment faire pour sniffer ce flux? ethereal ne m'affiche que du
flux chiffré, forcément.

Comment intercaler un filtre dans le dialogue normal?


Rappel légal: l'intrusion (et s'en est une) dans un systeme de
traitement informatisé est punie par la loi (et c'est pas donné).

Vous n'avez aucune chance sans avoir la clef privée du serveur.

De base, à l'ouverture, le serveur transmet son certificat & clef
publique.
Le client répond avec son certificat et une clef symétrique chiffré
avec la clef publique.
Le serveur utilise alors la clef symétrique (qu'il peut lire,
puisqu'il a sa clef privée).
(et on peut alors, dans le protocole, s'amuser à changer encore la
clef de chiffrement.

Si chaque coté est un peu sérieux, ils vérifient les certificats et
vous ne pourrez pas insérer un copiste au milieu.

Vous irez plus vite en assignant au tribunal le fournisseur de
l'application pour besoin d'interoperabilité.
Les protocoles propriétaires non documenté, c'est mal.

Kevin Denis
Le #2983371
On 2008-04-13, Le Forgeron
une application me donne du fil a retordre et je souhaite sniffer ses
échanges réseaux.
Or, il s'agit d'un flux SSL d'un protocole propriétaire, avec authent
par certificats.

Je souhaite donc utiliser le client normal, et sniffer les échanges pour
regarder quelles sont les informations envoyées, et dans quel ordre.

Mais comment faire pour sniffer ce flux? ethereal ne m'affiche que du
flux chiffré, forcément.

Comment intercaler un filtre dans le dialogue normal?


Rappel légal: l'intrusion (et s'en est une)


La non, je connais celui qui a ecrit le programme en question.

dans un systeme de
traitement informatisé est punie par la loi (et c'est pas donné).

Vous n'avez aucune chance sans avoir la clef privée du serveur.

J'ai. Je peux meme en generer à la demande, la remplacer, il n'y

a pas de problemes.

Si chaque coté est un peu sérieux, ils vérifient les certificats et
vous ne pourrez pas insérer un copiste au milieu.

C'est une impossibilité technique, ou légale?


Vous irez plus vite en assignant au tribunal le fournisseur de
l'application pour besoin d'interoperabilité.
Les protocoles propriétaires non documenté, c'est mal.


oui, mais la, c'est le jeu. J'ai tout, sauf les sources. Tout, c'est
le serveur, le client, les clés, et le droit de tout casser si j'ai
envie.
--
Kevin


Dominique ROUSSEAU
Le #3017111
Le dim, 13 avr 2008 at 15:23 GMT, Kevin Denis
On 2008-04-13, Le Forgeron
Rappel légal: l'intrusion (et s'en est une)


La non, je connais celui qui a ecrit le programme en question.


La notion d'intrusion, ça ne concerne pas qui a écrit le programme.


Olivier Miakinen
Le #3328081

Rappel légal: l'intrusion (et c'en est une)


La non, je connais celui qui a ecrit le programme en question.


La notion d'intrusion, ça ne concerne pas qui a écrit le programme.


Voui, mais bon, il semblerait qu'il s'agisse d'un flux chiffré par
celui-là même qui pose la question. D'ailleurs il a précisé qu'il est
propriétaire de la clé privée, qu'il peut en changer comme il le veut,
que le dialogue est entre deux machines à lui, et qu'il a donc le droit
de tout casser s'il en a envie.

La question est donc : quelle solution technique existe-t-il pour
fournir une clé privée à un analyseur de trames de telle sorte qu'il
déchiffre le flux à la volée au lieu de ne montrer que du contenu
chiffré.



Herve Autret
Le #3396771
Bonjour

Olivier Miakinen wrote:

La question est donc : quelle solution technique existe-t-il pour
fournir une clé privée à un analyseur de trames de telle sorte qu'il
déchiffre le flux à la volée au lieu de ne montrer que du contenu
chiffré.


Caïn et Abel sait faire ça.
http://www.oxid.it/cain_faq.html
avec 2-3 mots sur la technique employée
http://www.sans.org/rr/threats/man_in_the_middle.php
--
Hervé

offworld
Le #4181491
Rappel légal: l'intrusion (et c'en est une)
La non, je connais celui qui a ecrit le programme en question.

La notion d'intrusion, ça ne concerne pas qui a écrit le programme.



Voui, mais bon, il semblerait qu'il s'agisse d'un flux chiffré par
celui-là même qui pose la question. D'ailleurs il a précisé qu'il est
propriétaire de la clé privée, qu'il peut en changer comme il le veut,
que le dialogue est entre deux machines à lui, et qu'il a donc le droit
de tout casser s'il en a envie.

La question est donc : quelle solution technique existe-t-il pour
fournir une clé privée à un analyseur de trames de telle sorte qu'il
déchiffre le flux à la volée au lieu de ne montrer que du contenu
chiffré.


Et sur linux tu peux utiliser ssldump.
http://www.rtfm.com/ssldump/

--
http://nyx-network.com




Kevin Denis
Le #4215651
On 2008-04-17, offworld
La question est donc : quelle solution technique existe-t-il pour
fournir une clé privée à un analyseur de trames de telle sorte qu'il
déchiffre le flux à la volée au lieu de ne montrer que du contenu
chiffré.


Et sur linux tu peux utiliser ssldump.
http://www.rtfm.com/ssldump/

Je vais voir, merci.

--
Kevin


Kevin Denis
Le #4215641
On 2008-04-15, Olivier Miakinen
La question est donc : quelle solution technique existe-t-il pour
fournir une clé privée à un analyseur de trames de telle sorte qu'il
déchiffre le flux à la volée au lieu de ne montrer que du contenu
chiffré.


Caïn et Abel sait faire ça.
http://www.oxid.it/cain_faq.html


Le lien est mort. En voici un qui fonctionne : http://www.oxid.it/cain.html

Voilà un lien sur la doc, mais je ne peux lire la page qu'à condition de
désactiver JavaScript (sinon, il passe son temps à recharger cette page
indéfiniment) :
http://www.oxid.it/ca_um/

Je vais voir, merci.

--
Kevin



Herve Autret
Le #4431751
Bonjour

Olivier Miakinen:

Voilà un lien sur la doc, mais je ne peux lire la page qu'à condition de
désactiver JavaScript (sinon, il passe son temps à recharger cette page
indéfiniment) :
http://www.oxid.it/ca_um/


Presque pareil. Sauf que si je désactive javascript j'ai une page noire;
c'est java que je dois désactiver pour arrêter le chargement non-stop.
D'un autre côté, le contenu de la page a pu changer depuis le 15.
--
Hervé

GG
Le #4633771
Bonjour,

Comment intercaler un filtre dans le dialogue normal?


http://gilisa.free.fr/outils/kapimon/
On ne le documente pas, mais tout y est pour le faire,
il suffit de connaitre les APIs d'IE et c'est dans la poche.
Bien cet outil est un ougratuit et sans support.
--
Cordialement.
GG.

Publicité
Poster une réponse
Anonyme