I know one thing That I know nothing

Client Side Decryption TLS (https://)

Https trafiğinde oluşabilecek problemlerin çözümü için yapılan client side paket analizini inceleyeceğiz.   

Öncelikle Windows 10 client üzerine WireShark kurulumu gerçekleştiriyoruz.

Ardından aşağıdaki şekilde System içerisine “Environment” tanımlıyoruz. Bu işlem ile sunucu ile client arasında gerçekleşen şifreli trafiğin key exportunu çıkarıyoruz

Ardından WireShark açarak, Edit –> Preferences  (Ctrl + Shift + P) adımına gidiyoruz.

Bu menüde Protocols –> TLS (Eski versiyonlarda SSL) adımına gelerek log dosyamızın yolunu yazıyoruz.

Artık eriştiğimiz SSL sitelar ile aramızda geçen trafik decrypted edilebilir hale geliyor.

Ardından chorme açarak bir https sayfaya gidiyoruz.

Chrome açtığımızda belirttiğimiz log dosyası oluşmaz ise aşağıdaki şekilde başlatmamız gerekiyor.

“C:\Program Files (x86)\Google\Chrome\Application\chrome.exe” –ssl-key-log-file=c:\SSLKEY.log

Log dosyamızı incelediğimizde Trafik içirisinde gerekli olan key’ lerin yazıldığını göüyoruz.

Chrome üzerinde https bir sayfaya login olup içeride birkaç işlem yapıyor ve ardından log alma işlemini durduruyoruz.

Ardından filitre alnına http yazarak istediğimiz logları filitreliyoruz.

Burada http trafiği üzerinde sağ tıklayarak Follow –> HTTP Stream seçeneğiniz seçiyoruz.

Sol alt alanda Deyrypted TLS tarifiğin gösterildiğini görebiliriz.

Bu işlem sonrasında gerçekleşen trafiğin decrypted haline erişiyoruz.

Özellikle https erişimlerinde yaşanan sorunların anlaşılmasında işimizi kolaylaştıran bir yöntem. Server tarafından client tarafa ve tam tersi trafiği rahatça analiz etme olanağımız oluyor.

Yukarda kısa bir görüntüsünü paylaştığım analizin tamamında, Cookie vb. çok detaylı bilgileri 😉 inceleyebiliyoruz.