小樱 发表于 2019/4/3 17:39

Wireshark抓包解密chrome浏览器的HTTPS数据流,探测cookie字符串头部信息,ip.addr

Wireshark抓包解密chrome浏览器的HTTPS数据流,探测cookie字符串头部信息,ip.addr

如果是chrome浏览器的数据流 直接配置”SSLKEYLOGFILE“就可以解密了。

实现过程:
1.配置系统环境变量
变量名:SSLKEYLOGFILE
变量值:随意指定一个存储路径,以便chrome输出key.log







2.配置Wireshark
填入你在系统变量中指定的key.log存储路径,以便wireshark访问key.log中的key 从而解密https(ssl)



3.配置好以后要重启浏览器
设置tcp.port == 443只过滤https的数据包,要不太乱,或者ssl and ip.addr == 113.32.59.50也可以。



原理解析:
当你配置了”SSLKEYLOGFILE“这个环境变量,这意味着你告诉chrome 你想知道chrome每次https会话的key记录,chrome将会在每次https会话结束后 将会话数据解密的key记录到key.log文件中,Wireshark通过访问key.log文件使用里面的key就可以解密自己捕获到的chrome产生的https会话数据流。

如果使用mitmproxy软件抓包https,他们有个专用的环境变量为,使用此变量可用作Wireshark解析
MITMPROXY_SSLKEYLOGFILE

2023年6月8号帖子补充
如果说Wireshark无法抓包https,那只是你不会用,本贴中都详细列举出来了办法,直接拿公钥就能解,不会用不代表不具备https抓包功能
Wireshark的原理是直接用公钥还原出明文,https握手的时候需要交互公钥,然后Wireshark把这一块保存下来用于解密,这种抓包方式是无感知的,因为不需要中间人更换浏览器证书

页: [1]
查看完整版本: Wireshark抓包解密chrome浏览器的HTTPS数据流,探测cookie字符串头部信息,ip.addr