设为首页收藏本站

ZMX - IT技术交流论坛 - 无限Perfect,追求梦想 - itzmx.com

 找回密码
 注册论坛

QQ登录

只需一步,快速开始

新浪微博账号登陆

只需一步,快速开始

用百度帐号登录

只需两步,快速登录

搜索
查看: 2202|回复: 0

Wireshark抓包解密chrome浏览器的HTTPS数据流,探测cookie字符串头部信息,ip.addr

[复制链接]
 成长值: 345

签到天数: 4740 天

[LV.Master]伴坛终老

发表于 2019/4/3 17:39 | 显示全部楼层 |阅读模式 |Google Chrome 73.0.3683.86|Windows 10
天涯海角搜一下: 百度 谷歌 360 搜狗 有道 雅虎 必应 即刻
Wireshark抓包解密chrome浏览器的HTTPS数据流,探测cookie字符串头部信息,ip.addr

如果是chrome浏览器的数据流 直接配置”SSLKEYLOGFILE“就可以解密了。

实现过程:
1.配置系统环境变量
变量名:SSLKEYLOGFILE
变量值:随意指定一个存储路径,以便chrome输出key.log
1.png

2.png

3.png


2.配置Wireshark
填入你在系统变量中指定的key.log存储路径,以便wireshark访问key.log中的key 从而解密https(ssl)
4.png


3.配置好以后要重启浏览器
设置tcp.port == 443只过滤https的数据包,要不太乱,或者ssl and ip.addr == 113.32.59.50也可以。
1.png


原理解析:
当你配置了”SSLKEYLOGFILE“这个环境变量,这意味着你告诉chrome 你想知道chrome每次https会话的key记录,chrome将会在每次https会话结束后 将会话数据解密的key记录到key.log文件中,Wireshark通过访问key.log文件使用里面的key就可以解密自己捕获到的chrome产生的https会话数据流。

如果使用mitmproxy软件抓包https,他们有个专用的环境变量为,使用此变量可用作Wireshark解析
MITMPROXY_SSLKEYLOGFILE

2023年6月8号帖子补充
如果说Wireshark无法抓包https,那只是你不会用,本贴中都详细列举出来了办法,直接拿公钥就能解,不会用不代表不具备https抓包功能
Wireshark的原理是直接用公钥还原出明文,https握手的时候需要交互公钥,然后Wireshark把这一块保存下来用于解密,这种抓包方式是无感知的,因为不需要中间人更换浏览器证书

欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册论坛 新浪微博账号登陆用百度帐号登录

本版积分规则

手机版|Archiver|Mail me|网站地图|IT技术交流论坛 ( 闽ICP备13013206号-7 )

GMT+8, 2024/12/26 08:35 , Processed in 0.164648 second(s), 20 queries , MemCache On.

Powered by itzmx! X3.4

© 2011- sakura

快速回复 返回顶部 返回列表