有人知道如何"tcpdump“流量解密的Mallory MITM？

Question

我正在寻找一些帮助捕获网络流量，我可以分析在Wireshare (或其他工具)。我使用的工具是mallory。

如果有人熟悉马洛里，我需要一些帮助。我已经正确配置和运行了它，但是我不知道如何获得我想要的输出。

设置在我的专用网络上。我有一个VM (运行Ubuntu12.04-精确)和两个NIC：

• eth0在我的“真实”网络上
• eth1只存在于我的“假”网络上，并且正在使用dnsmasq (用于DNS和DHCP用于“假”网络上的其他设备)。

实际上，eth0是VM上的"WAN“，而eth1是VM上的"LAN”。

我已经设置了mallory和iptables来拦截、解密、加密和重写eth1上目标端口443上的所有通信量。在我想要拦截的设备上，我已经将mallory生成的ca.cer导入为受信任的根证书。

我需要在客户机和服务器之间的HTTPS流中分析一些奇怪的行为，这就是为什么mallory被设置在这个MITM的中间。

我希望将解密后的HTTPS通信量以与tcpdump/wireshark兼容的格式转储到日志文件或套接字中(以便稍后收集并分析它)。

在eth1上运行tcpdump太快了(它是加密的)，在eth2上运行tcpdump太晚了(已经重新加密了)。有没有办法使mallory "tcpdump“解密流量(双向)？

Answer 1

我遇到了同样的问题，尽管Mallory没有遇到这个问题(虽然我只是在Mallory发布后不久才试了一下)，但我从来没有运气能让Mallory工作。如果您可以在客户端中配置目标IP，您也应该能够使用我的解决方案。我把特技和红宝石tcp中继代理结合起来。我在博客上写了我在这里所做的事情：http://www.fishnetsecurity.com/6labs/blog/ssl-relay-proxy-creative-solution-complex-issue

我有个朋友用这些步骤让mallory工作，这对他来说很好。http://blog.opensecurityresearch.com/2012/05/mallory-mitm-fix-ssl-decryption.html