Wireshark解密HTTPS流量的兩種方法

原理html

  咱們先回顧一下SSL/TLS的整個握手過程:算法

  • Clienthello:發送客戶端的功能和首選項給服務器,在鏈接創建後,當但願重協商、或者響應服務器的重協商請求時會發送。
    • version:客戶端支持的最佳協議版本
    • Random:共32字節,28字節隨機數,4字節額外信息,受客戶端時鐘影響(爲了不瀏覽器指紋採集,如今通常會對4字節時鐘作扭曲)
    • Session ID:32字節隨機數,用於和服務器重建會話,爲空表示新建會話
    • cipher suit:客戶端支持的全部密碼套件,按優先級排列
    • Compression:客戶端支持的壓縮算法,默認無壓縮
    • Extensions:由任意數量的擴展組成,攜帶額外數據
  • ServerHello:
    • 選擇客戶端提供的參數反饋客戶端
    • 服務器無需支持客戶端支持的最佳版本,若是服務器不支持客戶端版本,能夠提供其餘版本以期待客戶端能夠接受
  • Certificate:
    • 用於攜帶服務器X.509證書鏈
    • 主證書必須第一個發送,中間證書按照正確的順序跟在主證書以後
    • 服務器必須保證發送的證書和選擇的算法套件一致
    • Certificate消息時可選的
  • ServerKeyExchange: 攜帶密鑰交換的額外數據,取決於加密套件
  • ServerHelloDone:服務器已將全部預計的握手消息發送完畢
  • ClientkeyExchange:攜帶客戶端爲密鑰交換提供的信息
  • ChangeCipherSpec:發送端已取得用以鏈接參數的足夠的信息
  • Finish:握手完成,消息內容加密,雙方能夠交換驗證,整個握手完整性所需的數據
    • 算法:verrify_data = PRF(master_secret , finished_label,hash(handshake_message))

  要解密HTTPS流量,須要獲得加密密鑰,加密密鑰由主密鑰、客戶端隨機數、服務器隨機數生成。由上述握手過程可知,客戶端隨機數和服務器隨機數在雙方握手消息中傳遞,而主密鑰(master_secret)則由預主密鑰(pre_master_secret)結合兩個隨機數生成。預主密鑰經過密碼套件中的密鑰交換算法進行交換(DH、RSA)。瀏覽器

  所以,經過Wireshark解密HTTPS,能夠從兩個地方下手:一、密鑰交換算法選擇RSA,而後提取服務器的私鑰,將私鑰導入Wireshark,經過Wireshark解密密鑰交換過程當中傳遞的預主密鑰,再結合以前的客戶端和服務器隨機數生成主密鑰,進一步生成加密密鑰,便可解密後續抓取到的加密報文。二、直接從客戶端提取預主密鑰,結合客戶端和服務器隨機數生成加密密鑰,實現對加密報文的解密。服務器

  下面演示兩種方法解密HTTPS流量。dom

方法一ui

  從服務器上導出帶私鑰的P12格式的證書,或者直接導出服務器的私鑰。加密

  捕獲從TCP三次握手開始的完整報文:htm

       

 

   能夠看到此時的報文是被TLS加密的,沒法看到具體的報文內容。blog

  點擊編輯——>首選項——>協議——>SSL(有的版本只有TLS),導入RSA key:ip

  

  因爲經過DH方法交換的密鑰不會在中間傳遞,因此這種方法只能解密經過RSA交換的密鑰。

 

  導入服務器證書:

  

 

  點擊ok後,Wireshark會對捕獲的報文進行解密:

  

  報文被成功解密,能夠直觀的看到HTTP報文的請求和響應。

 

第二種

  經過設置環境變量截取瀏覽器的pre_master_secret,進而實現解密HTTPS的目的。

  環境變量中新建用戶變量SSLKEYLOGFILE=路徑\sslkey.log文件,以後再wireshark中ssl配置中制定該文件位置便可。

  

  點擊編輯>首選項>protocol>ssl:

  

  便可解密瀏覽器的訪問流量:

  

原文出處:https://www.cnblogs.com/yurang/p/11505741.html

相關文章
相關標籤/搜索