移动端抓取\解密SSL流量

最新推荐文章于 2024-08-26 08:23:12 发布
最新推荐文章于 2024-08-26 08:23:12 发布
阅读量1.8k 收藏 2
点赞数 1
分类专栏: 网络 文章标签: 抓包 解密SSl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/h1130189083/article/details/81676632
版权

最近一段时间有需求要抓取移动端通过SSL加密的HTTPS和WebSocket流量,使用WireShark中Lua插件进行私有协议的解包和统计.网上找到的大多是解密浏览器SSL流量的教程,通过设置环境变量的方式导出浏览器握手过程中产生的ClientRandom和(Pre)MasterKey到Wireshark来解密,针对移动端的SSL流量解密少有涉及,通过对一些工具及OpenSSL的了解,有几种方法可以做到在移动端解密通过SSL传输的流量,在这里记录下来。

  1. 搭建代理服务器,在移动端信任伪服务器即代理的证书。代理作为伪客户端与服务器握手,作为伪服务器与客户端握手,同时需要解决Sni等问题,其中原理在MitmProxy的文档中有详细的说明,见https://docs.mitmproxy.org/stable/concepts-howmitmproxyworks/,其实大多移动端可用的抓包工具例如Fiddler、Charles等都是采用这种方式实现的。这种方式可用的工具有SSLsplit、MitmProxy。这两个工具都可以将代理与真实服务器、代理与客户端握手过程中的MasteerKey导出到文件,实现与浏览器流量相同的解密方式。其中MitmProxy地址:https://mitmproxy.org/,SSLsplit地址:https://www.roe.ch/SSLsplit.

  2. 针对自己的移动端App,可以在客户端调用OpenSSL握手的过程中使用如下代码将ClientRandom和MasterKey导出:

 /*   * Generates a NSS key log format compatible string containing the client
     * random and the master key, intended to be used to decrypt externally
     * captured network traffic using tools like Wireshark.
     *
     * Only supports the CLIENT_RANDOM method (SSL 3.0 - TLS 1.2).
     *
     * https://developer.mozilla.org/en-US/docs/Mozilla/Projects/NSS/Key_Log_Format
     */
    char* ssl_ssl_masterkey_to_str(SSL *ssl)
    {
        char *str = NULL;
        int rv;
        unsigned char *k, *r;
#if OPENSSL_VERSION_NUMBER >= 0x10100000L
        unsigned char kbuf[48], rbuf[32];
        k = &kbuf[0];
        r = &rbuf[0];
        SSL_SESSION_get_master_key(SSL_get0_session(ssl), k, sizeof(kbuf));
        SSL_get_client_random(ssl, r, sizeof(rbuf));
#else /* OPENSSL_VERSION_NUMBER < 0x10100000L */
        k = ssl->session->master_key;
        r = ssl->s3->client_random;
#endif /* OPENSSL_VERSION_NUMBER < 0x10100000L */
        rv = asprintf(&str,
                      "CLIENT_RANDOM "
                      "%02X%02X%02X%02X%02X%02X%02X%02X"
                      "%02X%02X%02X%02X%02X%02X%02X%02X"
                      "%02X%02X%02X%02X%02X%02X%02X%02X"
                      "%02X%02X%02X%02X%02X%02X%02X%02X"
                      " "
                      "%02X%02X%02X%02X%02X%02X%02X%02X"
                      "%02X%02X%02X%02X%02X%02X%02X%02X"
                      "%02X%02X%02X%02X%02X%02X%02X%02X"
                      "%02X%02X%02X%02X%02X%02X%02X%02X"
                      "%02X%02X%02X%02X%02X%02X%02X%02X"
                      "%02X%02X%02X%02X%02X%02X%02X%02X"
                      "\n",
                      r[ 0], r[ 1], r[ 2], r[ 3], r[ 4], r[ 5], r[ 6], r[ 7],
                      r[ 8], r[ 9], r[10], r[11], r[12], r[13], r[14], r[15],
                      r[16], r[17], r[18], r[19], r[20], r[21], r[22], r[23],
                      r[24], r[25], r[26], r[27], r[28], r[29], r[30], r[31],
                      k[ 0], k[ 1], k[ 2], k[ 3], k[ 4], k[ 5], k[ 6], k[ 7],
                      k[ 8], k[ 9], k[10], k[11], k[12], k[13], k[14], k[15],
                      k[16], k[17], k[18], k[19], k[20], k[21], k[22], k[23],
                      k[24], k[25], k[26], k[27], k[28], k[29], k[30], k[31],
                      k[32], k[33], k[34], k[35], k[36], k[37], k[38], k[39],
                      k[40], k[41], k[42], k[43], k[44], k[45], k[46], k[47]);

        return (rv < 0) ? NULL : str;
    }

保存为文件在WireShark设置SSLKEYLOGFILE即可。

手机移动端配置fiddler,wireshark解密HTTPS 流量
村中少年的专栏
05-06 1万+
介绍如何解密手机的加密流量,通过fiddler实行中间人代理
openssl源码分析(一)
thinker
11-24 2929
我们跳过握手的总状态机和读写状态机,因为我认为那是OpenSSL架构方案的一个败笔,逻辑非常的不清晰,是程序员思维,而不是正常的逻辑思维。与握手逻辑比较相关的在statem_clnt.c和statem_srv.c中。分别是客户端的握手逻辑和服务端的握手逻辑。 我们以服务端为重点来分析。 一个简单的函数列表就能看出来其中的大体逻辑。对于服务器来说,是被动的处理消息,响应客户端请求的一方。所以所有的发送都是有接收来触发,接收对应的函数典型的就是tls_process_开头的函数,而发送所对应的函数就是t
https流量解析
06-03
https流量解析,图形界面,可直观的查看当前https代理的流量
SSL/TLS会话的流量分析
至虛極,守靜篤
09-22 2472
http://blog.fourthbit.com/2014/12/23/traffic-analysis-of-an-ssl-slash-tls-session/ 我希望这篇文章能够说明使用SSL/TLS时在协议层发生了哪些事情。为了实现分析目的,我将用非阻塞模式实现一个基于OpenSSL的TCP客户端和服务端,编译工具使用的的是我熟悉的Scheme Gambit。 需要注意的是:SSL/TSL对应用程序的安全防护只等同于底层基础组件(网络与主机层)。 SSL/TLS...
HTTPS流量解密
weixin_30587927的博客
02-12 659
对已抓取的HTTPS流量数据包,如果对其进行解密,需要满足以下几个前提: 1、在SSL/TLS协商阶段,被选中的加密套件使用的密钥交换方式为RSA 2、已经获取RSA证书的私钥。 满足以上两点,我们就可以将抓取下来的数据包,用wireshark等工具进行解密。其中,RSA私钥需要导入到数据包解析工具,其中wireshark的设置方法为:打开SSL协议的配置项,然后导入RSA私钥。 ...
如何利用Wireshark解密SSL和TLS流量
weixin_30596735的博客
05-10 2140
如何利用Wireshark解密SSL和TLS流量https://support.citrix.com/article/CTX135121 1.有server端的private key,直接在wireshark上使用Edit > Preferences->Protocols->RSA keys list 这个protocol必须是小写http,用了大写的会报错。。。key fi...
为何我们要检查SSL流量
weixin_34327223的博客
07-03 1275
数据流量加密是否有利于网络安全?某种程度上来说,的确如此。然而美好的事物往往都是鱼和熊掌不可兼得,为提高安全性而牺牲应用性能是我们需要避免的事情。 大多数企业机构的SSL流量平均已占网络总流量的15%至25%,在垂直细分市场中的此类流量更高。行业规范诸如支付卡行业安全标准以及HIPAA法案均要求各企业在数据传输中对敏感数据进行加密(例如:银行往来数据、商...
Charles代理软件抓取并解析移动端微信小程序HTTPS加密数据的使用方法(移动端)
Mr_Scott的博客
11-28 1181
Charles代理软件抓取并解析移动端微信小程序HTTPS加密数据的使用方法(移动端)
3-3nginx添加ssl证书➕核心配置文件说明
qq_67337605的博客
06-17 1017
从0到1学运维:3-3nginx添加ssl证书➕核心配置文件说明
移动端 爬虫工具 与 方法 介绍
墨鱼菜鸡
07-11 1462
From:https://www.cnblogs.com/zyfd/p/9681080.html 本文主要介绍了移动端爬虫的工具与方法,作为一个入门的大纲。没有详细介绍的也给出了本人学习过程中借鉴的资料的链接,适合对移动端爬虫感兴趣的同学入门。 一、抓包模拟 基本原理(中间人攻击) 中间人攻击:在中间人攻击中,攻击主机通常截断客户端和服务器的加密...
Fiddler4插件:解决移动端接口抓包难题
为了使Fiddler能够解密SSL加密的流量,手机设备需要安装由Fiddler生成的中间人证书。这通常需要按照设备类型和操作系统进行不同的操作。 #### 证书信任 在安装证书之后,用户可能还需要在设备上进行额外的设置,以...
关于SSL握手过程有几个随机数的疑惑(抓包的协议是TLSv1.2)
weixin_43975276的博客
06-03 2232
网上面的说法不一样,书本上面的也有所不同,自己抓包也和书本不一样。 出自:计算机网络 自顶向下 出自:计算机网络 上面是前三次握手???? 随机数到底有没有传呢?书本上面没有提及,但是从抓包来看是有的,在两次hello报文里面。 计算机网络里面的在第三次握手的时候用服务器端的公钥加密随机数,然后服务器端拿到之后生成相应的主密钥。 自顶向下里面的在第三次握手传递的是主密钥。 都没有提及两次hello的随机数,不知道是没提及还是他们认为没有。 最大的可能是版本不同,但是我也不知道怎么可以使用老版本的S
SSL连接中握手协议及握手过程
vecloud的博客
10-17 3134
2)服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息;4)服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。当一个SSL客户机和服务器第一次开始通信时,它们在一个协议版本上达成一致,选择加密算法,选择相互认证,并使用公钥技术来生成共享密钥。a. 客户机生成一个随机数,并使用服务器的公钥(从服务器的证书中获得)对它加密,然后发送到服务器上。步骤1:SSL客户机连接到SSL服务器,并要求服务器验证它自身的身份。
SSL Logger:提升网络安全监控的利器
gitblog_00096的博客
04-09 488
SSL Logger:提升网络安全监控的利器 ssl_loggerDecrypts and logs a process's SSL traffic.项目地址:https://gitcode.com/gh_mirrors/ss/ssl_logger 项目简介 是由 Google 开源的一个小型工具,主要用于记录和分析网络流量中的 SSL/TLS 连接信息。通过这个项目,开发者和系统管理员可以更深...
搭建SSL client端
销声匿迹
12-05 1930
SSL建立在tcp基础上的传输层协议
SSL 协议分析:ClientHello 过程分析
流媒体巅峰之路
11-06 2040
最近在分析某个PC端程序的登录过程,发现它用的是openssl进行https通讯的。 由于以前没有openssl的使用经验,遂开始学习这个库,在这里记录一些TLS协议的原理, 以及openssl实现TLS协议的代码分析。(TLS 相当于 SSL 协议的后续版本。) 画了一个丑陋的简图: 首先是客户端先发起 客户端发起tcp链接,然后,发起TLS 请求, 即ClientHel...
推荐项目:ssl_logger —— 深入解析SSL流量的利器
gitblog_00288的博客
08-26 398
推荐项目:ssl_logger —— 深入解析SSL流量的利器 ssl_loggerDecrypts and logs a process's SSL traffic.项目地址:https://gitcode.com/gh_mirrors/ss/ssl_logger 在数字时代,对于开发者、安全研究人员以及系统管理员而言,深入了解和监控网络中的加密通信变得至关重要。今天,我们来探索一个名为ssl...
wireshark && Fiddler抓包分析与解密https && Fiddler修改https请求和响应
BRAVE MAN的博客
03-21 4282
Https理论 在说HTTPS之前先说说什么是HTTP,HTTP就是我们平时浏览网页时候使用的一种协议。HTTP协议传输的数据都是未加密的,也就是明文的,因此使用HTTP协议传输隐私信息非常不安全。为了保证这些隐私数据能加密传输,于是网景公司设计了SSL(Secure Sockets Layer)协议用于对HTTP协议传输的数据进行加密,从而就诞生了HTTPS。SSL目前的版本是3.0,被IETF(Internet Engineering Task Force)定义在RFC 6101中,之后IETF对SS
https(ssl)协议以及wireshark抓包分析与解密
热门推荐
Q1n6
11-30 11万+
根据之前一篇安全协议的分析中分析了ssl协议,先回顾下ssl协议的内容然后用wireshark来抓包看具体流量包内容。          SSL协议栈位置介于TCP和应用层之间,分为SSL记录协议层和SSL握手协议层。其中SSL握手协议层又分为SSL握手协议、SSL密钥更改协议和SSL警告协议。SSL握手协议作用是在通信双方之间协商出密钥,SSL记录层的作用是定义如何对上层的协议进行封装。S
charles如何只抓取手机端
最新发布
02-04
### 配置Charles仅捕获移动端流量 为了确保Charles只捕获移动设备的流量而不记录其他设备或计算机本身的流量,可以采取特定设置来实现这一目标。 #### 设置Charles监听指定IP地址 默认情况下,Charles会监听所有网络接口上的流量。通过修改Charles的代理服务器设置,可以选择性地让其仅监听来自移动设备的流量。进入`Proxy`菜单下的`Proxy Settings...`选项,在这里可设定本地代理服务器使用的IP地址和端口。对于只想捕捉移动设备的数据流而言,应该取消勾选`Enable transparent HTTP proxying`透明代理功能[^1]。 #### 移动设备配置 接着按照常规流程完成移动设备与电脑之间的Wi-Fi共享连接,并确认两者处于同一局域网内。随后在手机浏览器里输入`chls.pro/ssl`下载安装SSL证书以便能够解密HTTPS加密通信内容;同时也要保证手机系统的HTTP(S)代理指向运行着Charles软件那台主机对应的内部IP以及8888这个标准端口号[^3]。 #### 过滤不必要的流量 回到Charles界面之后,利用工具栏中的`Recording Settings`按钮打开录制条件对话框。在此处可以通过定义访问范围(如限定域名)、排除某些类型的资源加载等方式进一步精确控制哪些请求会被截取下来分析处理。比如添加一个包含localhost或者127.0.0.1模式到忽略列表中就可以防止本机发出的任何http(s)调用被误录进去。 ```bash # 假设你的电脑 IP 地址为 192.168.1.100, 则需确保手机 Wi-Fi 的代理设置如下: HTTP Proxy Host: 192.168.1.100 Port: 8888 ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值