各位小伙伴浴鸿,平時(shí)使用wireshark抓包時(shí)遇到https的數(shù)據(jù)包是不是很頭疼虐译,不要慌狰挡,今天就由小緣來帶大家了解下如何使用wireshark來解密https數(shù)據(jù)流。
原理
我們先回顧一下SSL/TLS的整個(gè)握手過程:
Clienthello:發(fā)送客戶端的功能和首選項(xiàng)給服務(wù)器顽频,在連接建立后藤肢,當(dāng)希望重協(xié)商、或者響應(yīng)服務(wù)器的重協(xié)商請(qǐng)求時(shí)會(huì)發(fā) 送糯景。
version:客戶端支持的最佳協(xié)議版本
Random:共32字節(jié)嘁圈,28字節(jié)隨機(jī)數(shù),4字節(jié)額外信息蟀淮,受客戶端時(shí)鐘影響(為了避免瀏覽器指紋采集最住,現(xiàn)在一般會(huì) 對(duì)4字節(jié)時(shí)鐘做扭曲)
Session? ? ID:32字節(jié)隨機(jī)數(shù)稀并,用于和服務(wù)器重建會(huì)話厨剪,為空表示新建會(huì)話
cipher? suit:客戶端支持的所有密碼套件澡为,按優(yōu)先級(jí)排列
Compression:客戶端支持的壓縮算法申钩,默認(rèn)無壓縮
Extensions:由任意數(shù)量的擴(kuò)展組成,攜帶額外數(shù)據(jù)
ServerHello:
選擇客戶端提供的參數(shù)反饋客戶端拐云,服務(wù)器無需支持客戶端支持的最佳版本颤殴,如果服務(wù)器不支持客戶端版本杭跪,可以提供其他版本以期待客戶端可以接受
Certificate:
用于攜帶服務(wù)器X.509證書鏈
主證書必須第一個(gè)發(fā)送通惫,中間證書按照正確的順序跟在主證書之后
服務(wù)器必須保證發(fā)送的證書和選擇的算法套件一致
Certificate消息時(shí)可選的
ServerKeyExchange:? 攜帶密鑰交換的額外數(shù)據(jù)茂翔,取決于加密套件
ServerHelloDone:服務(wù)器已將所有預(yù)計(jì)的握手消息發(fā)送完畢
ClientkeyExchange:攜帶客戶端為密鑰交換提供的信息
ChangeCipherSpec:發(fā)送端已取得用以連接參數(shù)的足夠的信息
Finish:握手完成,消息內(nèi)容加密履腋,雙方可以交換驗(yàn)證珊燎,整個(gè)握手完整性所需的數(shù)據(jù) 算法:verrify_data? =? PRF(master_secret? , finished_label,hash(handshake_message))
要解密HTTPS流量,需要得到加密密鑰遵湖,加密密鑰由主密鑰悔政、客戶端隨機(jī)數(shù)、服務(wù)器隨機(jī)數(shù)生成延旧。由上述握手過程可知谋国, 客戶端隨機(jī)數(shù)和服務(wù)器隨機(jī)數(shù)在雙方握手消息中傳遞,而主密鑰(master_secret)則由預(yù)主密鑰(pre_master_secret)結(jié)合 兩個(gè)隨機(jī)數(shù)生成迁沫。預(yù)主密鑰通過密碼套件中的密鑰交換算法進(jìn)行交換(DH芦瘾、RSA)闷盔。
因此,通過Wireshark解密HTTPS旅急,可以從兩個(gè)地方下手:
1、密鑰交換算法選擇RSA牡整,然后提取服務(wù)器的私鑰藐吮,將私鑰 導(dǎo)入Wireshark,通過Wireshark解密密鑰交換過程中傳遞的預(yù)主密鑰逃贝,再結(jié)合之前的客戶端和服務(wù)器隨機(jī)數(shù)生成主密鑰谣辞,進(jìn)一 步生成加密密鑰,即可解密后續(xù)抓取到的加密報(bào)文沐扳。
2泥从、直接從客戶端提取預(yù)主密鑰,結(jié)合客戶端和服務(wù)器隨機(jī)數(shù)生成加密密 鑰沪摄,實(shí)現(xiàn)對(duì)加密報(bào)文的解密躯嫉。
下面演示兩種方法解密HTTPS流量。
方法一
從服務(wù)器上導(dǎo)出帶私鑰的P12格式的證書杨拐,或者直接導(dǎo)出服務(wù)器的私鑰祈餐。 捕獲從TCP三次握手開始的完整報(bào)文:
可以看到此時(shí)的報(bào)文是被TLS加密的,無法看到具體的報(bào)文內(nèi)容哄陶。 點(diǎn)擊編輯——>首選項(xiàng)——>協(xié)議——>SSL(有的版本只有TLS)帆阳,導(dǎo)入RSA? ? key:
PS:由于通過DH方法交換的密鑰不會(huì)在中間傳遞,所以這種方法只能解密通過RSA交換的密鑰屋吨。
導(dǎo)入服務(wù)器證書:
點(diǎn)擊ok后蜒谤,Wireshark會(huì)對(duì)捕獲的報(bào)文進(jìn)行解密:
方法二
通過設(shè)置環(huán)境變量截取瀏覽器的pre_master_secret,進(jìn)而實(shí)現(xiàn)解密HTTPS的目的。 環(huán)境變量中新建用戶變量SSLKEYLOGFILE=路徑\sslkey.log文件至扰,之后再wireshark中ssl配置中制定該文件位置即可鳍徽。
1 必須使用谷歌瀏覽器
2 設(shè)置環(huán)境變量
3 點(diǎn)擊編輯>首選項(xiàng)>protocol>ssl:
4 解密成功
有什么疑問歡迎在下方留言!