Wireshark will decrypt the TLS (HTTPS) traffic and save the plain text: 將TLS (https) decrypt 並保存明文

已于 2024-08-29 10:44:24 修改
阅读量9.7k 收藏 22
点赞数 17
分类专栏: 經驗談 分析工具 http-flv 文章标签: wireshark https 测试工具
于 2021-10-28 17:08:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/agathakuan/article/details/121018385
版权
本文详细介绍了如何使用Wireshark捕获并解密通过SSL/TLS协议传输的HTTPS流量,使其变为明文。通过设置SSLKEYLOGFILE环境变量,结合Wireshark的TLS预主密钥日志文件配置,可以解密TCP数据包,并将内容保存为纯文本文件进行查看。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Packets transmitted using the SSL/TLS protocol are encrypted after the handshake, making their content inaccessible even when captured with Wireshark. This article introduces a method to decrypt TLS packets into plaintext.

使用 SSL/TLS 協議傳輸的封包在 handshake 之後以加密形式傳輸,即使wireshark 抓包也無法看到內容,
本文介紹使TLS 封包解為明文的方法

文章目录

Version info
windows OSMicrosoft Windows 7
wireshark Version3.4.9 (v3.4.9-0-g365e236f5efe)
vlcv3.0.8
google chrome版本 95.0.4638.54 (正式版本) (64 位元)

Decrypt Steps

Run wireshark to capture

Under normal circumstances, the protocol will be displayed as TLS v (in the image, it shows TLS v1.2) Application Data. This appears after the Certificate, Server (Client) Key Exchange. The content is in an encrypted state.

原本的情況是會顯示 protocol 為 TLS v<TLS 的版本> (圖中是 TLS v1.2) Applicaiton Data
出現在 certificated, Server (client) Key exchange 之後
內文處於加密的狀態
在这里插入图片描述

Add env variables

Add an environment variable SSLKEYLOGFILE with the value set to a new file. Then, restart the browser or other target HTTPS clients (e.g., VLC Player, etc.).

新增一個環境變數 SSLKEYLOGFILE,數值是一個全新的檔案
然後 重啟瀏覽器,或是其他目標 https clients (VLC Player etc)

在这里插入图片描述
After starting the stream, this file will be created, and it will contain content similar to the following.
開始串流之後這個檔案會被創建且出現類似如下內文

在这里插入图片描述

Add SSLKEYLOGFILE to wireshark

Edit -> Preference -> Protocol -> TLS
Add (pre)-master-secret log filename

在这里插入图片描述

Decrypted TCP

After completing the previous step, start capturing packets again. In the packets following the Change Cipher Spec Finished (completion of the TLS handshake), you will see info [TLS segment of a reassembled PDU], which indicates the encrypted TCP content. By clicking on it, you will see ‘Decrypted TLS,’ containing the decrypted plaintext.
完成上一步之後重新開始抓包,在 Change Cipher spec Finished (TLS 握手完成)以後的包, info [TLS segment of a reassembled PDU] 這就是被加密的 tcp 內容,點開以後會出現 Decrypted TLS 裡面是解密的明文
在这里插入图片描述

Save printable text file

Save in wireshark

File -> export packet deceptions -> As Plain text
select as:
在这里插入图片描述

View the saved decrypted content 查看保存下來的內文

It will display the package number and other protocol details
會顯示package number 等協議內容

在这里插入图片描述

在这里插入图片描述

Reference

https://www.youtube.com/watch?v=5qecyZHL-GU&ab_channel=ChrisGreer

使用Wireshark抓包分析TLS协议
m0_65890285的博客
04-22 6194
TLS(Transport Layer Security,传输层安全)是一种用于保护网络通信安全的协议。它建立在SSL(Secure Sockets Layer,安全套接层)协议之上,用于在客户端和服务器之间创建加密连接,确保通信的保密性、完整性和认证性。
wireshark 无法解密tls_WiresharkHTTPS数据的解密
weixin_39837352的博客
12-22 669
之前有介绍《wireshark抓包分析——TCP/IP协议》,然后某天有人问我,示例里是HTTP的,如果是HTTPS,你可以抓包分析吗?基于好奇,我查阅了下相关资料,把一些浅见分享给大家。在讲HTTPS的解密之前先来看下HTTPS与HTTP的不同之处,HTTPS是在TCP/IP与HTTP之间,增加一个安全传输层协议,而这个安全传输层协议一般用SSL或TLS,类似于下图。即HTTPS=HTTP+SS...
Use Wireshark to Decrypt HTTPS
rztyfx的专栏
04-27 1895
Not matter you are a network app developer or network administrator, you may need to debug or troubleshoot encrypted network protocol HTTPS. Wireshark is a powerful and useful tool that we use in tr
使用WireShark解密https流量
最新发布
new9232的博客
03-13 1738
https协议是在http协议的基础上,使用TLS协议对http数据进行了加密,使得网络通信更加安全。
解密TLS协议全记录之利用wireshark解密
热门推荐
walleva96的博客
07-17 5万+
引言 为什么会突然有使用wireshark学习TLS的想法,主要是为了在nike官网抢限量球鞋,但是发现路子好像走歪了,唯一的价值好像就是多了这么一篇博客,查阅了很多有根据,没根据的博客内容,总结出这篇自以为还算全面,结实的文章。如有问题,欢迎讨论交流。 学习网络协议之前,必须先找对最基本的协议学习网站, rfc协议官网 https://www.rfc-editor.org ietf协议官网 https://www.ietf.org/ 这个网站我经常搜索不出比较理想的文件,标题不直观,杂七杂八的会议记录
Decrypting TLS Browser Traffic With WiresharkThe Easy Way!
HappyBear1995的博客
03-17 1308
Intro Most IT people are somewhat familiar with Wireshark.  It is a traffic analyzer, that helps you learn how networking works, diagnose problems and much more. One of the problems with the
extract-tls-secrets:通过Wireshark实现HTTPS/TLS快速解密
标题所提到的“extract-tls-secrets:使用Wireshark快速解密HTTPSTLS连接”指明了文件内容涉及到TLS(传输层安全协议)的解密技术,且提出了一种利用Wireshark工具结合Java Agent技术来快速解密HTTPS/TLS连接的方法...
【网络】实践:Wireshark分析HTTPS协议
xhdxhdxhd的博客
01-06 2542
介绍 在本博客中我们基于一个简单的HTTPS会话示例,展示如何通过各种加密算法等,在TLSv1.2协议规则下计算验证各个域,为学习HTTPS协议以及实现HTTPS协议的人提供参考示例。 本博客示例TLS协议的基本信息如下: TLS版本:TLSv1.2; Cipher:TLS_RSA_WITH_AES_128_CBC_SHA, 选择该套件的原因是其不是十分复杂,适合用于展示; 扩展:Extene...
wireshark https rsa
05-26
Wireshark is a popular network protocol analyzer tool that allows you to capture and ... Once you have added the private key file, Wireshark will automatically decrypt the SSL/TLS traffic using RSA.
Wireshark抓包实战:HTTPS协议解密与分析
Wireshark可以捕获网络数据包,分析展示数据包的详细信息,还可以将数据包以不同的格式进行保存或导出,方便后续的分析和处理。 ## 1.2 Wireshark的安装步骤 要安装Wireshark,可以按照以下步骤进行操作: 1. ...
使用Wireshark解密SSL/TLS数据包调试
心梦无痕
02-17 4万+
使用Wireshark解密SSL/TLS数据 我们使用wireshark抓取的HTTPS数据包,可以使用wireshark通过以下两种方式直接解密查看 1. 用服务器证书私钥解码 第一种方法是:使用服务器证书的私钥进行解码。 在IIS上导出服务器证书私钥 第一步我们需要从网站服务器上导出证书私钥,这里拿IIS服务器举例。 打开IIS站点所绑定的服务器证书,点击查看 详细信息 页,点击 复制到文件...
Wireshark分析TLS(v1.2)
qq_32076957的博客
03-19 1万+
WiresharkTLS
wireshark解密用临时秘钥加密的ssl/tls数据包
gufachongyang02的专栏
08-09 1万+
wireshark解密用临时秘钥加密的ssl/tls数据包
Fiddler捕获https请求时勾选了Decrypt HTTPS traffic还是获取不到证书的问题(转)
ak364877的博客
01-13 959
问题 (点击Actions中的Trust Root Certificate和Export Root Certificate to Desktop也会出错)如图所示勾选了Decrypt HTTPS traffic点击ok后,打开浏览器输入网址http://localhost:8888,进入如下界面:点击FiddlerRoot certificate链接后提示找不到证书: 解决办法...
Wiresharkhttps 请求抓包展示为明文
༺ bestcxx的专栏 ༻
07-10 1万+
我们监听 https 需要连接外网,我本地通过 WIFI 连接,故选择 Wi-Fi:en0。可以在具体某一条上,右键->Follow ,选择 HTTP 或者 TLS 都是可以的。作用是,Chrome 浏览器会把 https 请求中的秘钥保存到指定的文件,下一步。比如我们访问 https://www.baidu.com ,然后随便搜什么。如果没有本文的设置,左下角这一块内容是没有的,只会有一个密文信息。如果是想监听本地,就选择 Loopback:lo0。此时捕获的包已经是明文,可以通过域名进行过滤。
Wireshark教程:解密HTTPS流量
程序员阿飘 的博客
03-18 3464
本教程面向进行流量分析的安全专业人员。本教程假定你已经熟悉Wireshark的基本使用,使用Wireshark 3.x版。在审查可疑的网络活动时,我们经常会遇到加密的流量。因为大多数网站使用安全超文本传输​协议(HTTPS)协议。和网站一样,各种类型的恶意软件也使用HTTPS。在检查恶意软件活动中的PCAP时,了解感染后流量中包含的内容非常重要。该Wireshark教程讲解如何使用https日志文件从Wireshark中的pcap解密HTTPS流量。该日志包含https加密密钥数据。
【抓包工具】配置:Fiddler 设置 HTTPS 勾选了 Decrypt HTTPS traffic 的报错解决
顾三殇 —— 博客空间(软件测试)
07-16 1万+
Fiddler 设置 HTTPS 勾选了 Decrypt HTTPS traffic 的报错解决
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值