wireshark https_大白鲨Wireshark解密HTTPS流量

最新推荐文章于 2024-03-17 19:40:18 发布
最新推荐文章于 2024-03-17 19:40:18 发布
阅读量635 收藏 1
点赞数
文章标签: wireshark https 怎么导出wireshark文本

在审查可疑网络活动时,经常遇到加密流量。大多数网站使用HTTPS协议,各种类型的恶意软件也使用HTTPS,查看恶意软件产生的数据对于了流量内容非常有帮助。

本文介绍了如何利用Wireshark从pcap中解密HTTPS流量。可以使用基于文本的日志进行解密方法,日志中包含最初记录pcap时捕获的加密密钥数据。

HTTPS Web流量

HTTPS流量通常显示一个域名。例如,在Web浏览器中查看https://www.wireshark.org,在自定义的Wireshark列显示中查看时,pcap将显示www.wireshark.org作为此流量的服务器名称。但无法知道其他详细信息,例如实际的URL或从服务器返回的数据。

ef0cf5995100b5bf75d1d609f313cdfa.png

8792115eb573474454127be5a42cad86.png

加密密钥日志文件

加密密钥日志是一个文本文件。

aee4f0884020af6a6e2cb8d4b01aea38.png

最初记录pcap时,使用中间人(MitM)技术创建这些日志。如果在记录pcap时未创建任何此类文件,则无法解密该pcap中的HTTPS通信。

示例分析

有密钥日志文件的HTTPS流量

Github存储库中有一个受密码保护的ZIP文件,其中包含pcap及其密钥日志文件。ZIP中包含的pcap通过密钥日志解密后,可以访问恶意软件样本。

0453773e6f6dd0adb224d9b425007463.png

8edb6c9cbe4f5866502b85c77cd457e0.png

从ZIP(密码:infected)中提取pcap和密钥日志文件:

Wireshark-tutorial-KeysLogFile.txt
Wireshark解密HTTPS-SSL-TLS-traffic.pcap教程

ab80c06cfffeb90eb8f98c9d679e9ea8.png

没有密钥日志文件的HTTPS流量

在Wireshark中打开解密的HTTPS-SSL-TLS-traffic.pcap Wireshark教程,使用Web筛选器:

(http.request或tls.handshake.type eq 1)和!(ssdp)

此pcap来自Windows 10主机上的Dridex恶意软件,所有Web流量(包括感染活动)都是HTTPS。没有密钥日志文件,看不到流量的任何详细信息,只有IP地址,TCP端口和域名:

683dab9c70dd5722b75e14736f525922.png

加载密钥日志文件

在Wireshark中打开解密的HTTPS-SSL-TLS-traffic.pcap Wireshark,使用菜单路径Edit –> Preferences来打开Preferences菜单:

d653b52f1845886d2f234e2d20d426e8.png

在Preferences菜单的左侧,单击Protocols:

9bc80193a27cecd26db6629044b8d249.png

如果使用的是Wireshark版本2.x,需要选择SSL。如果使用的是Wireshark 3.x版,需要选择TLS。选择SSL或TLS后,可以看到(Pre)-Master-Secret日志文件名。单击“浏览”,然后选择名为Wireshark-tutorial-KeysLogFile.txt的密钥日志文件:

81b540cbc8eefe8267f58ae71a6dc71a.png

8e49e3719f6557d02df695eaa315fdae.png

3b59cb0cec7bdc05a8fe59b7c88350e4.png

密钥日志文件的HTTPS流量

单击“确定”后,Wireshark会在每条HTTPS行下列出解密的HTTP请求:

3f0c2a2828bcf8aed4b11edb8c1122d6.png

在此pcap中可以看到隐藏在HTTPS通信中对microsoft.com和skype.com域的HTTP请求,还发现由Dridex发起的以下流量:

foodsgoodforliver[.]com – GET /invest_20.dll
105711[.]com – POST /docs.php

对foodsgoodforliver[.]com的GET请求返回了Dridex的DLL文件。对105711[.]com的POST请求是来自受Dridex感染的Windows主机的命令和控制(C2)通信。

针对foodsgoodforliver[.]com的HTTP GET请求的HTTP流:

99058463b32d2ba6fc6f166afd525ef7.png

5041a790774fdd91636946745eae0727.png

可以从pcap导出此恶意软件,使用菜单路径文件–>导出对象–> HTTP从pcap导出该文件:

d238b33df5aab3ed416590e4ef0d7bd3.png

使用file命令确认这是一个DLL文件,然后使用shasum -a 256获取文件的SHA256哈希:

487cc61b0cdbdd3bb04e4e7d705dac6e.png

该恶意软件的SHA256哈希为:

31cf42b2a7c5c558f44cfc67684cc344c17d4946d3a1e0b2cecb8e*173cb2f

还可以检查来自此Dridex感染的C2流量,下图显示了其中一个HTTP流的示例:

624bca69e02fc3c089681f7db8de7927.png

参考链接

Customizing Wireshark – Changing Your Column Display
Using Wireshark – Display Filter Expressions
Using Wireshark: Identifying Hosts and Users
Using Wireshark: Exporting Objects from a Pcap
Wireshark Tutorial: Examining Trickbot Infections
Wireshark Tutorial: Examining Ursnif Infections
Wireshark Tutorial: Examining Qakbot Infections

转载于:freebuf.com

sultan_song
关注
Wireshark解析https数据
《穷小子的IT世界》的专栏
12-24 908
本文地址: Firefox Chrome浏览器用https访问服务器时,通过Wireshark抓包,解密https数据 1)Firefox或Chrome在开发者模式的时候,TLS秘钥就会自动写入到该指定文件下,通过环境变量SSLKEYLOGFILE 指定 所以第一步就是配置环境变量SSLKEYLOGFILE ,配置方法如下: 右击<此电脑>,选择属性,进入一下界面 然后在左侧选择<高级系统设置>,进入系统属性页面,如下图。 然后在系统属性页面(上图)的右下角选择&
Wireshark教程:解密HTTPS流量
nuan444979的博客
09-29 1万+
Wireshark教程:如何解密HTTPS流量
【安全系列】wireshark解析https
叁滴水 的博客
08-22 5512
1.http痛点 ​ http协议使用极为广泛,但是存在不小的安全缺陷。主要是其数据的明文传送和消息完整性检测的缺乏, 而这两点恰好是网络支付,网络交易等新兴应用中安全方面最需要关注的。 如以下场景: 当我们在进行一些敏感操作的时候,如果有中间人拦截了我们请求,那就会很轻易的得到和服务器直接交互的数据,并且很轻易的进行篡改。 ​ 以上,中间人在对请求进行拦截时,可以很轻易的获取用户A的账号密码;对用户B的转账金额或者转账人进行篡改。 ​ https针对http的数据不安全等问题做出了改善。主要解决在数
为什么Wireshark无法解密HTTPS数据
weixin_34132768的博客
06-29 1436
导读 由于需要定位一个问题,在服务器上tcpdump抓取https数据包,然后下载到本地打开wireshark分析。然后我们下载域名私钥配置到wireshark,发现数据包居然无法解密。是wireshark配置密钥的方法不对?但谷歌了好多文章都是说这样配置的。由于对HTTPS认识不够深,一时不知道如何入手解决。没办法,只能先了解tls这个协议了,于是查看了TLS1.2的RFC文档,终...
Wireshark无法识别SSL/TLS流量
weixin_30794851的博客
02-28 808
最近发现使用wireshark打开HTTPS流量包,在协议部分看不到SSL/TLS,数据流量显示如下截图: 出现这样的问题,可能是wireshark配置的SSL/TLS端口和数据包实际的端口不匹配,导致wireshark不去解析未知端口的SSL/TLS流量信息,可以按如下截图修改。 转载于:https://www.cnblogs.com/eric-su/p/6478152.ht...
Wireshark 不显示TLS协议
s383253107的博客
09-26 3264
不小心将wireshark TLS协议显示给disable了。后面一直找不到。 分析---》启用的协议 在弹出的对话框里,搜索TLS,打开TLS即可。
Wireshark轻松解密TLS浏览器流量
weixin_34037173的博客
11-26 446
设置浏览器我们需要设置一个环境变量Windows:进入电脑属性页面,点击“高级系统设置”,点击“环境变量”添加一个新的用户变量“SSLKEYLOGFILE”并将其指向你想要放日志文件的地方。Linux或Max OS X$exportSSLKEYLOGFILE=~/path/to/sslkeylog.log同时,将它加入Linux上如下代码的最后一行~/.bashrc或者将...
Wireshark_TCP3.rar_Wireshark Lab_lab windows Tcp_wireshark_wires
09-19
同时,Wireshark_TCP3.pdf文档很可能是本次实验的详细指南,包含了步骤解析、案例分析和可能的问题解决方案。 总之,Wireshark作为强大的网络分析工具,配合TCP的实验环境,是深入学习TCP协议、提升网络素养的理想...
Wireshark--source-code.rar_wireshark_wireshark linux_wireshark s
09-19
在Linux环境下,Wireshark的源代码提供了更大的灵活性和控制权。通过编译源代码,开发者或高级用户可以了解Wireshark的内部工作机制,同时可以根据自己的系统配置和特定需求来优化软件性能。在Linux系统下,编译...
wireshark 无法解密tls_WiresharkHTTPS数据的解密
weixin_39837352的博客
12-22 557
之前有介绍《wireshark抓包分析——TCP/IP协议》,然后某天有人问我,示例里是HTTP的,如果是HTTPS,你可以抓包分析吗?基于好奇,我查阅了下相关资料,把一些浅见分享给大家。在讲HTTPS解密之前先来看下HTTPS与HTTP的不同之处,HTTPS是在TCP/IP与HTTP之间,增加一个安全传输层协议,而这个安全传输层协议一般用SSL或TLS,类似于下图。即HTTPS=HTTP+SS...
Wireshark解密https流量.pdf
最新发布
04-22
### Wireshark解密HTTPS流量详解 #### 一、引言 随着互联网技术的发展与普及,网络安全成为企业和个人用户关注的重点。HTTPS作为一种安全的HTTP协议版本,在数据传输过程中使用SSL/TLS加密技术来确保信息安全。然而...
WiresharkHTTPS数据的解密
netease_im的博客
05-02 215
之前有介绍《Wireshark抓包分析——TCP/IP协议》,那如果是HTTPS协议,可以抓包分析吗?基于好奇,查阅了下相关资料分享给大家。在讲解密之前先来看下HTTPS与HTTP的不同...
为何Fiddler可以解密https,而Wireshark却不可以?
油墨香^-^的博客
02-27 537
浏览器(https client)与https server整个通信过程,wireshark全程没有参与,只是被动地监听录像,等人家两口子完事后,导演(调试https程序员)想看回放。为了避免被中间人欺骗,一些APP只信任几个特定的权威CA签名的证书,其它的证书统统无效,中间人欺骗的把戏就玩不下去了!所以并不是说https加密算法不行,而是为了方便调试加密https,而设计的一款软件,利用了https认证环节的特点。用于将加密https报文解密,将明文的http报文字段呈现出来,方便调试排错http。
wireshark解析https数据包
背着行囊去远方的博客
03-17 1721
将生成的ssl.key文件https.pcap文件存到windows系统上(Debian上安装的wireshark无法设置.ssl.key文件,暂时还不知道原因)3、打开wireshark,点击编辑->首选项,找到TLS,将ssl.key文件配置进去,这边主要通过ssl.key来解密https包。在linux环境下抓取访问某个https的网址时抓取的数据包都是加密的,导致无法跟踪到数据包流,现在尝试将抓取的https包进行解密。4、此时,再去规则中增加http筛选,就能看到解密的数据了。
wireshark 抓取 https
热门推荐
qq_17328759的博客
02-11 3万+
背景介绍: 首先,https双向加密的,如果需要解密数据,除非知道 客户端/服务器 任何一方私钥!否则无法解密,常用手段: 基于中间人攻击抓包。使用fiddler 或 charles ,实现的是中间人代理,将客户端私钥改为 fiddler 或 charles 的私钥,每次通信使用中间代理人的私钥加密,服务器就可以通过公钥解密wireshark 是基于网络层的抓包工具,通过捕获通信双方的TCP/IP包实现内容提取。对于应用层的数据,如果应用层协议是公开的,就可以直接显示数据。处理HTTPS 协议时,因为不
wireshark + HTTPS
u010563350的博客
11-23 1041
网络上http已经不常见了,所以解决HTTPS怎么解密。 默认情况下,https的协议是tls。 很不幸,tls流量包裹的加密数据中的HTML/CSS/JS/JSON…我们看不了。 这种情况下,我们有一种简单粗暴的方法看https流量。 就是用浏览器的调试模式。F12。 不幸的是,这种方式可能会导致https的网站用js使我们进入F12后陷入一个死循环,从而得不到有用的数据。我们还是需要除浏览器之外的软件来帮我们解密https。 Fildle,是作为一个代理服务器存在的。如果fq过,它其实就是ssr服务器。
使用 Wireshark 调试 HTTPS请求
追逐丶的博客
08-22 3018
通过导入私钥的方式让wireshark能够抓取https报文
使用wireshark分析https
Make
12-22 1432
从上文中分析了http的抓包使用wireshark分析http,接下来想继续分析https于是搭建了https的环境。现在开始使用wireshark抓包软件分析httpshttps交互的大致步骤 密码学算法 要了解https首先要稍微了解算法学的知识,在这里主要是RSA算法和DES算法,作为工科,我觉得不需要十分了解算法内部的实现,只需要了解用法即可。下面就谈谈我对这两种算法的大致理解。 RSA算法 通过RSA可以得到两个秘钥,一个是A,一个是B,两个可以互补 使用秘钥A加密的密文,只有
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值