Wireshark解密HTTPS流量的兩種方法

原理

　　咱們先回顧一下SSL/TLS的整個握手過程：

• Clienthello：發送客戶端的功能和首選項給服務器，在鏈接創建後，當但願重協商、或者響應服務器的重協商請求時會發送。
  • version：客戶端支持的最佳協議版本
  • Random：共32字節，28字節隨機數，4字節額外信息，受客戶端時鐘影響（爲了不瀏覽器指紋採集，如今通常會對4字節時鐘作扭曲）
  • Session ID：32字節隨機數，用於和服務器重建會話，爲空表示新建會話
  • cipher suit：客戶端支持的全部密碼套件，按優先級排列
  • Compression：客戶端支持的壓縮算法，默認無壓縮
  • Extensions：由任意數量的擴展組成，攜帶額外數據
• ServerHello：
  • 選擇客戶端提供的參數反饋客戶端
  • 服務器無需支持客戶端支持的最佳版本，若是服務器不支持客戶端版本，能夠提供其餘版本以期待客戶端能夠接受
• Certificate：
  • 用於攜帶服務器X.509證書鏈
  • 主證書必須第一個發送，中間證書按照正確的順序跟在主證書以後
  • 服務器必須保證發送的證書和選擇的算法套件一致
  • Certificate消息時可選的
• ServerKeyExchange: 攜帶密鑰交換的額外數據，取決於加密套件
• ServerHelloDone：服務器已將全部預計的握手消息發送完畢
• ClientkeyExchange：攜帶客戶端爲密鑰交換提供的信息
• ChangeCipherSpec：發送端已取得用以鏈接參數的足夠的信息
• Finish：握手完成，消息內容加密，雙方能夠交換驗證，整個握手完整性所需的數據
  • 算法：verrify_data = PRF(master_secret , finished_label,hash(handshake_message))

　　要解密HTTPS流量，須要獲得加密密鑰，加密密鑰由主密鑰、客戶端隨機數、服務器隨機數生成。由上述握手過程可知，客戶端隨機數和服務器隨機數在雙方握手消息中傳遞，而主密鑰（master_secret）則由預主密鑰（pre_master_secret）結合兩個隨機數生成。預主密鑰經過密碼套件中的密鑰交換算法進行交換（DH、RSA）。

　　所以，經過Wireshark解密HTTPS，能夠從兩個地方下手：一、密鑰交換算法選擇RSA，而後提取服務器的私鑰，將私鑰導入Wireshark，經過Wireshark解密密鑰交換過程當中傳遞的預主密鑰，再結合以前的客戶端和服務器隨機數生成主密鑰，進一步生成加密密鑰，便可解密後續抓取到的加密報文。二、直接從客戶端提取預主密鑰，結合客戶端和服務器隨機數生成加密密鑰，實現對加密報文的解密。

　　下面演示兩種方法解密HTTPS流量。

方法一

　　從服務器上導出帶私鑰的P12格式的證書，或者直接導出服務器的私鑰。

　　捕獲從TCP三次握手開始的完整報文：

       

 

 　　能夠看到此時的報文是被TLS加密的，沒法看到具體的報文內容。

　　點擊編輯——>首選項——>協議——>SSL（有的版本只有TLS），導入RSA key：

　　

　　因爲經過DH方法交換的密鑰不會在中間傳遞，因此這種方法只能解密經過RSA交換的密鑰。

 

　　導入服務器證書：

　　

 

　　點擊ok後，Wireshark會對捕獲的報文進行解密：

　　

　　報文被成功解密，能夠直觀的看到HTTP報文的請求和響應。

 

第二種

　　經過設置環境變量截取瀏覽器的pre_master_secret,進而實現解密HTTPS的目的。

　　環境變量中新建用戶變量SSLKEYLOGFILE=路徑\sslkey.log文件，以後再wireshark中ssl配置中制定該文件位置便可。

　　

　　點擊編輯>首選項>protocol>ssl：

　　

　　便可解密瀏覽器的訪問流量：

　　

原文出處：https://www.cnblogs.com/yurang/p/11505741.html