参考来源:
https://zhuanlan.zhihu.com/p/36669377
https://blog.csdn.net/u010726042/article/details/53408077
思路:
wireshark抓到的https流量包经过了ssl加密,那么我们如何才能查看解密的数据呢?Firefox和Chrome浏览器都支持用日记文件的方式记录下用来加密TLS数据包对称会话秘钥的,可以通过配置sslkeyfile的链接,将wireshark的中ssl解密指向该文件即可。环境变量中新建用户变量SSLKEYLOGFILE=/sslkey.log文件,之后再wireshark中ssl配置中制定该文件位置即可。
练习环境说明:
操作系统:win10
浏览器:谷歌浏览器{版本 123.0.6312.58(正式版本) (64 位)}
wireshark版本:Version 3.6.6 (v3.6.6-0-g7d96674e2a30)
步骤一:创建对称会话秘钥文件,新增环境变量
示例:在F盘创建文件夹名称为sslkeylogfile,内部存放ssk.log文件
对应路径:控制面板\所有控制面板项\系统\高级系统设置\环境变量,点击新建,输入变量名称为SSLKEYLOGFILE,变量值为刚才创建的sslkey.log文件,点击确定保存
步骤二:wireshark中指定tls协议应用的预加密秘钥文件位置
打开wireshark软件,在路径:编辑\首选项\Protocols中,找到TLS协议,指定{(Pre)-Master-Secret log filename}为步骤一中创建的文件,如下图示例所示
步骤三:开启wireshark,抓取网卡数据
pass
步骤四:打开谷歌浏览器,访问https://www.baidu.com
打开谷歌浏览器,按F12打开开发者选项界面,地址栏中输入baidu.com,点击网络,查看名称为www.baidu.com的标头部分,可以知道域名对应的网站ip,如下图,访问的百度远端ip地址为:153.3.238.110
步骤五:返回wireshark界面,查看是否能看到解密数据,验证解密效果是否成功
由于之前抓取的是全网卡的流量,通过步骤四中知道的百度ip进行过滤,过滤条件为:ip.addr == 153.3.238.110 && ssl,解密成功效果如下图,可以看到底部有Decrypted TLS,对应序号796,显示获取首页信息的数据,解密预期效果实现。
