1、Linux操作系统
解密https数据包需要设置SSLKEYLOGFILE变量,推荐写入配置文件中。
echo "export SSLKEYLOGFILE=~/.ssl.key" >> ~/.bashrc
source ~/.bashrc
使用tcpdump命令抓取https的数据包。
tcpdump -i eth0 tcp and port 443 -s0 -nn -w first.pcap
将first.pcap和.ssl.key文件下载到本地,用Wireshark打开first.pcap,看到的数据包应该都是加密的,明文内容需要给Wireshark设置一下,关键是依靠.ssl.key文件来解密。
image.png
Wireshark操作具体步骤如下。
image.png
image.png
image.png
image.png
2、Windows操作系统
Windows也是同样的办法,配置系统环境变量,变量名:SSLKEYLOGFILE。
image.png
image.png
环境变量配置好了之后重启一下系统,打开Wireshark按照上面的步骤配置一下ssl.key文件,然后开始抓包。
打开浏览器访问https网站,这时候抓取到的数据包都是以明文显示的了。
image.png
Microsoft Edge和Google Chrome浏览器测试过可以正常解密https,其他浏览器还未测试,不过解密的方法已经提供了,剩下的慢慢搞。
3、Mac操作系统
Mac操作系统的方法大致跟Linux的一样,这里不演示了。
网友评论