网页抓取解密(WireSharkWireshark解密TLS数据流(图)数据解密(组图))

　　网页抓取解密(WireSharkWireshark解密TLS数据流(图)数据解密(组图))

　　线鲨

　　Wireshark 解密 TLS 数据流。从网上现有的资料来看，主要有两种方式：一种是直接解密服务器的私钥，另一种是在握手过程中使用SSLKEYLOGFILE获取会话密钥信息进行解密。

　　此处仅尝试第二种方式来解密 TLS 数据。可用的应用程序包括：chrome、Firefox、curl。

　　首先将 SSLKEYLOGFILE 用户环境变量设置为自定义文件路径。例子：

　　或者在启动浏览器进程时附加参数--ssl-key-log-file=

　　.

　　测试开始，打开wireshark，访问，网页加载完成后退出浏览器，wireshark结束抓包。在目标路径中生成对应的密钥文件。然后在wireshark中，Edit -> Preferences -> Protocols -> TLS，可以添加RSA解密私钥、预共享密钥、主密钥。这只是使用（预）主密钥并导入先前生成的密钥文件。最后在主窗口查看，或者追踪TLS流，对应的数据已经解密。

　　提琴手

　　但通常在分析一些非浏览器进程时，对于使用HTTPS的，不需要看TCP数据，可以使用Fiddler（工作在应用层），将工具携带的证书导入虚拟机，然后然后在 fiddler Decrypt 选项中启用 https 进行解密。

　　参考：

　　（服务器密钥导入）

　　(SSLKEYLOGFILE)

　　（密钥导出和嵌入）