SSLKEYLOGFILE - Como descriptografar o tráfego SSL ?

Para descriptografar o tráfego SSL basta definir a variável de ambiente "SSLKEYLOGFILE" em seu sistema operacional e obter informações detalhadas sobre a aplicação que está acessando através do Chrome ou Firefox.

01 - Passo

No Windows basta entrar nas definição de Variáveis de Ambiente.

• Tela Windows + digite: env ( Editar as variáveis de ambiente do sistema )
• Meu Computador > Propriedades > Configurações relacionadas > Configurações avançadas do sistema > Variáveis de Ambiente

02 - Passo

Windows

Defina o Nome da variável e no Valor da variável o caminho do arquivo que os dados serão armazenados.

Nome da variável : SSLKEYLOGFILE
Valor da variável : C:\Users\Marcos\Desktop\SSLKEYLOGFILE.txt

PowerShell

Se preferir você também pode definir a variável via PowerShell.

PS C:\Users\Marcos\Desktop> SetX SSLKEYLOGFILE "$(get-location)\SSLKEYLOGFILE.txt"
PS C:\Users\Marcos\Desktop> Get-ChildItem ENV: | findstr SSLKEYLOGFILE

Linux

No sistema operacional Linux.

export SSLKEYLOGFILE="/home/marcos/sslkeyfile"

MacOS X

No sistema operacional MacOS X.

export SSLKEYLOGFILE="/Users/marcos/sslkeyfile"

03 - Passo

Após confirmar que a variável SSLKEYLOGFILE foi definida, reinicie o computador.

04 - Passo

Inicie o navegador Chrome.

05 - Passo

Observe que no local que você definiu na variável será criado o arquivo SSLKEYLOGFILE.txt, no meu caso foi criado no Desktop.

06 - Passo

Ao o arquivo SSLKEYLOGFILE.txt você todo o tráfego entre o CLIENT e o SERVER armazenado.

07 - Passo

Inicie o Wireshark para que possamos realizar a captura dos pacotes.

08 - Passo

Clique em Edit > Preferences...

09 - Passo

Clique em Protocols > TLS e no campo (Pre)-Master Secret log filename informa o caminho do arquivo SSLKEYLOGFILE.txt.

C:\Users\Marcos\Desktop\SSLKEYLOGFILE.txt

10 - Passo

Inicie a Captura de Pacotes.

11 - Passo

Acesse o site que desejar ex :https://netflix.com/br/login e informe o E-mail e Senha.

12 - Passo

Logado com sucesso!

13 - Passo

Agora basta realizar a pesquisa do tipo String informando o E-mail para que a pesquisa seja realizada.

• Observe que todos os dados são exibidos incluindo a Senha.
• Observe a aba Decrypted TLS informando que o conteúdo está descriptografado.

14 - Passo

Se você alterar novamente as configurações do Wireshark clicando em Edit > Preferences...

15 - Passo

Clique em Protocols > TLS e no campo (Pre)-Master Secret log filename deixe em branco.

16 - Passo

Ao fazer a pesquisa novamente pelo E-mail não será exibido nenhum resultado, pois os dados estão Criptografados.

👍 Dica

• Este processo pode ser muito útil durante um PenTest Web, pois vai te ajudar a conhecer ainda mais a aplicação que está avaliando.