Доброе утро форумчане! Решил попробовать на днях эту тему работает ли она сейчас!
Для успешного выполнения перехвата данных из защищенного HTTPS трафика и его дешифрования необходимы следующее:
- постоянно работающая на период мероприятия рабочая станция с прямым IP адресом или IP адресом в одной сети с контролируемой станцией (в данном примере я применяю виртуальную рабочую станцию под управлением операционной системы предварительно настроена таким образом, что находятся в периметре отдельно созданной виртуальной сети 192.168.11. /24 и имеет IP адресом 192.168.111.7)
- проксирующее программное обеспечение с функцией экспорта вверенного сертификата (в данном примере применяется программное обеспечение Fiddler Everywhere производства Progress Telerik, доступное для свободной загрузки на официальном веб-сайте https://www.telerik.com/fiddler).
Запуск такого программного обеспечения желательно по административным правам, а дефолтный tcp порт указанного программного обеспечения должен быть открыт на файерволе или брандмауэре операционной системы рабочей станции станции).
- физический доступ к контролируемой станции для первоначальной настройки, а также физический доступ к контролируемой станции для изменения настроек на обычные после завершения мероприятий (в данном примере виртуализации VMWare, предварительно сконфигурированная таким образом, что находятся в периметре отдельно созданной виртуальной сети 192.168.111.
(А) С помощью запущенного и отлаженного проксирующего программного обеспечения следует экспортировать доверенный сертификат (в данном занятии в окне программного обеспечения Fiddler
- нажать "Tools" > "Options";
- в окне Options выбрать вкладку HTTPS;
- Выбрать пункты Capture HTTPS Connects и Decrypt HTTPs traffic;
- нажать кнопку «Actions» и нажать «Export root certificate to desktop»).
- во вкладке "Connections" выбрать пункты "Capture FTP requests" и "Allow remote computer to connect"
2. Настройка контролируемой станции для проксирования компьютерного трафика, использование вверенного сертификата.
Файл доверенного сертификата с рабочей станции (в данном примере применяется файл FiddlerRoot.cer на рабочем столе) необходимо перенести на контролируемую станцию (в данном занятии на рабочий стол путем копирования и вставки средствами функции dragndrop VMWare Tools).
Файл вверенного сертификата следует импортировать в хранилище (в данном примере путем вызова программы управления сертификатами пользователей Microsoft Windows 10 Pro (certmgr)) (или же в поиске управление сертификатами). » > «Все задачи» > «Import», импортировать файл «FiddlerRoot.cer» с рабочего стола в хранилище сертификатов).
В программе «Параметры прокси-сервера» в окне «Настройки» включить пункт «Использовать прокси-сервер»; ввести адрес рабочей станции – это задача 192.168.111.7 и порт 8888); нажать «Сохранить»).
После правильной настройки при посещении защищенных HTTPS веб-сайтов с помощью всех обозревателей контролируемой станции (в данном примере 192.168.111.6) расшифрованный трафик будет показываться в окне проксирующего программного обеспечения Inspectors окна > TextView или WebForms.
После всей настройки решил зарегаться на 1 попавшем форуме и проверить расшифровку гет пост запросов и вот что я получил.
https://xss.pro/attachments/43998/?hash=5cdb213c9f748c27d13afb83683fa747
В дальнейшем хочу попробовать все сделать через скрипт что бы автоматически подгружался церт с сервера. Если кто-то пробовал подобное буду благодарен за подсказки. Спасибо!
Для успешного выполнения перехвата данных из защищенного HTTPS трафика и его дешифрования необходимы следующее:
- постоянно работающая на период мероприятия рабочая станция с прямым IP адресом или IP адресом в одной сети с контролируемой станцией (в данном примере я применяю виртуальную рабочую станцию под управлением операционной системы предварительно настроена таким образом, что находятся в периметре отдельно созданной виртуальной сети 192.168.11. /24 и имеет IP адресом 192.168.111.7)
- проксирующее программное обеспечение с функцией экспорта вверенного сертификата (в данном примере применяется программное обеспечение Fiddler Everywhere производства Progress Telerik, доступное для свободной загрузки на официальном веб-сайте https://www.telerik.com/fiddler).
Запуск такого программного обеспечения желательно по административным правам, а дефолтный tcp порт указанного программного обеспечения должен быть открыт на файерволе или брандмауэре операционной системы рабочей станции станции).
- физический доступ к контролируемой станции для первоначальной настройки, а также физический доступ к контролируемой станции для изменения настроек на обычные после завершения мероприятий (в данном примере виртуализации VMWare, предварительно сконфигурированная таким образом, что находятся в периметре отдельно созданной виртуальной сети 192.168.111.
(А) С помощью запущенного и отлаженного проксирующего программного обеспечения следует экспортировать доверенный сертификат (в данном занятии в окне программного обеспечения Fiddler
- нажать "Tools" > "Options";
- в окне Options выбрать вкладку HTTPS;
- Выбрать пункты Capture HTTPS Connects и Decrypt HTTPs traffic;
- нажать кнопку «Actions» и нажать «Export root certificate to desktop»).
- во вкладке "Connections" выбрать пункты "Capture FTP requests" и "Allow remote computer to connect"
2. Настройка контролируемой станции для проксирования компьютерного трафика, использование вверенного сертификата.
Файл доверенного сертификата с рабочей станции (в данном примере применяется файл FiddlerRoot.cer на рабочем столе) необходимо перенести на контролируемую станцию (в данном занятии на рабочий стол путем копирования и вставки средствами функции dragndrop VMWare Tools).
Файл вверенного сертификата следует импортировать в хранилище (в данном примере путем вызова программы управления сертификатами пользователей Microsoft Windows 10 Pro (certmgr)) (или же в поиске управление сертификатами). » > «Все задачи» > «Import», импортировать файл «FiddlerRoot.cer» с рабочего стола в хранилище сертификатов).
В программе «Параметры прокси-сервера» в окне «Настройки» включить пункт «Использовать прокси-сервер»; ввести адрес рабочей станции – это задача 192.168.111.7 и порт 8888); нажать «Сохранить»).
После правильной настройки при посещении защищенных HTTPS веб-сайтов с помощью всех обозревателей контролируемой станции (в данном примере 192.168.111.6) расшифрованный трафик будет показываться в окне проксирующего программного обеспечения Inspectors окна > TextView или WebForms.
После всей настройки решил зарегаться на 1 попавшем форуме и проверить расшифровку гет пост запросов и вот что я получил.
https://xss.pro/attachments/43998/?hash=5cdb213c9f748c27d13afb83683fa747
В дальнейшем хочу попробовать все сделать через скрипт что бы автоматически подгружался церт с сервера. Если кто-то пробовал подобное буду благодарен за подсказки. Спасибо!
