当前位置: 首页 > article >正文

使用WireShark解密https流量

概述

  • https协议是在http协议的基础上,使用TLS协议对http数据进行了加密,使得网络通信更加安全。
  • 一般情况下,使用WireShark抓取的https流量,数据都是加密的,无法直接查看。但是可以通过以下两种方法,解密抓取到的https流量数据。

方法一:通过RSA私钥解密

  • 首先需要下载服务端的RSA证书私钥文件

  • 在WireShark中,选择编辑->首选项->RSA密钥,然后添加RSA证书私钥文件。

    • 在这里插入图片描述
  • 或者选择编辑->首选项->Protocols->TLS, 点击RSA keys list后面的编辑按钮,设置服务端的ip和端口,协议写http, 再导入RSA私钥文件。

    • 在这里插入图片描述
  • 这样重新抓包,就可以抓到解密后的https流量。

    • 在这里插入图片描述
  • 这种方法只能解密密钥协商算法为RSA的加密套件,支持的常用加密套件有以下几种:

    •   TLS_RSA_WITH_AES_256_GCM_SHA384
        TLS_RSA_WITH_AES_128_GCM_SHA256
        TLS_RSA_WITH_AES_256_CBC_SHA256
        TLS_RSA_WITH_AES_128_CBC_SHA256
        TLS_RSA_WITH_AES_256_CBC_SHA
        TLS_RSA_WITH_AES_128_CBC_SHA
      
  • 并且需要拿到RSA证书私钥,可能不太实用。

方法二:使用密钥日志文件

  • https流量加密的核心是TLS协议,其握手过程会协商出会话密钥,用于加密实际传输的数据。

  • 当客户端配置了密钥日志文件后,每次TLS握手完成时,会将会话密钥等信息写入指定的日志文件中,这样WireShark就可以使用日志文件中的会话密钥等信息解密HTTPS流量数据。

  • 如果使用浏览器,可配置SSLKEYLOGFILE环境变量,指定一个日志文件路径。如果不生效,可重启下电脑。

    •   set SSLKEYLOGFILE=C:\sslpath\sslkeylog.txt
      
  • 如果使用C/C++编写的客户端程序,可通过OpenSSL接口指定密钥日志文件

    •   void keylog_callback(const SSL *ssl, const char *line) {
            FILE *keylog = fopen("C:\\sslpath\\sslkeylog.txt", "a");
            if (keylog) {
                fprintf(keylog, "%s\n", line);
                fclose(keylog);
            }
        }
      
        int main () {
            SSL_CTX *ctx = SSL_CTX_new(TLSv1_2_client_method());
            if(ctx == NULL){
                ERR_print_errors_fp(stderr);
                return -1;
            }       
      
            SSL_CTX_set_keylog_callback(ctx, keylog_callback);
      
            return 0;
        }
      
  • 然后在WireShark中选择编辑->首选项->Protocols->TLS, 在(Pre)-Master-Secret log filename的编辑框中指定日志文件路径。

    • 在这里插入图片描述
  • 再重新抓取,依然可以成功解密https流量

    • 在这里插入图片描述
  • 这种方法几乎支持所有的加密套件。

  • 密钥日志文件若泄露,可解密所有记录的HTTPS流量,仅限测试环境使用。

总结

  • 通过RSA证书私钥解密使用密钥日志文件
    加密套件支持情况只支持RSA密钥协商算法的加密套件,不支持ECDH、DH等其他密钥协商算法的加密套件几乎支持所有加密套件
    安全性只支持解密指定服务器的https流程,更加安全可解密所有的https流量, 密钥日志文件要谨慎保存
    实用性需要服务端提供证书私钥, 不太实用不需要服务端提供证书私钥,更加实用

http://www.kler.cn/a/587832.html

相关文章:

  • Centos 7 安装达梦数据库
  • 设计模式-工厂模式、策略模式、代理模式、责任链模式
  • STM32 RS232通信开发全解析 | 零基础入门STM32第五十九步
  • docker安装和卸载
  • Kubernetes教程(七)了解集群、标签、Pod和Deployment
  • Python和PyTorch库实现基于生成对抗网络(GAN)将小纹理合成大纹理的详细步骤及代码示例
  • HOT100——链表篇Leetcode234. 回文链表
  • 自动化立体库的规划设计
  • [Hello-CTF]RCE-Labs超详细WP-Level13Level14(PHP下的0/1构造RCE命令简单的字数限制RCE)
  • 当内核调试过程中出现bug的调试流程
  • GEN3C:具有精确相机控制的3D信息化世界一致视频生成
  • Spring Boot使用线程池创建多线程
  • 3.3 Spring Boot多数据源动态切换:AbstractRoutingDataSource实战
  • 软件环境安装-通过Docker安装Elasticsearch和Kibana【保姆级教程、内含图解】
  • 关于深度学习参数寻优的一些介绍
  • Tcp网络通信的基本流程梳理
  • 当今前沿技术:人工智能与区块链的未来发展
  • 科大讯飞嵌入式软件开发面试总结
  • Vue与Django是如何传递参数的?
  • python-53-分别使用flask和streamlit进行向量存储和检索的服务开发实战