Frage von Jampi97, 41

Kann man gesniffte Pakete abändern und wieder versenden?

Ich habe mit Wirehark einpaar meiner verschlüsselten Benutzerdaten aufgezeichnet (https). Jetzt möchte ich gerne dieses Paket nochmal verschicken, sodass ich mich einloggen kann ohne das ich das Passwort und den Benutzer zu weiss.

Antwort
von franzhartwig, 25

Das funktioniert nicht. Zunächst einmal: Per Wireshark mitgeschnüffelte Pakete lassen sich mit speziellen Programmen bearbeiten. Nach meinem Überblick sind diese Programme nicht frei verfügbar und nicht ganz billig. Ich habe so etwas bei einem Kollegen gesehen.

Wireshark oder ein solches Hilfsprogramm ist nicht ohne Vorbereitung in der Lage, ein HTTPS-Paket zu entschlüsseln. Wenn man ein solches Paket entschlüsseln will, muss man im Vorfeld den SSL-Handshake mit aufzeichnen und bestimmte Daten per Umgebungsvariable in eine Datei exportieren.

Für jede SSL/TLS-Session werden individuelle Schlüssel generiert. Ein Paket von gestern kann man also nicht so einfach in eine TLS-Session von heute einschleusen. Man muss das Paket von gestern entschlüsseln und mit den Schlüsseln der aktuellen Session neu verschlüsseln.

Dann spuckt einem noch TCP in die Suppe. Denn da gibt es auch noch Sequence und Acknowledgement Numbers, die zur aktuellen Session passen müssen. Die Werte von gestern passen heute sicher nicht.

Du siehst: Das, was Du vorhast, funktioniert nicht so einfach. Und ich habe den Eindruck, dass Dir der nötige Überblick über die ablaufenden Mechanismen fehlt.

Antwort
von TeeTier, 24

Das, was du suchst, ist ein MITM-Proxy, und das, was du vorhast ist eine Replay-Attacke. Beides völlig legal, solange es sich um deine eigenen Daten handelt. :)

Antwort
von ToxicWaste, 18

Deine Pakete oder die von jemand anderem? Du fragst hier böse Sachen nach.

aber zum Glück dürfte es schon daran scheitern, das eine neue https-Session neue Schlüssel generiert. Wäre sonst ja auch zu einfach.

Keine passende Antwort gefunden?

Fragen Sie die Community