用Wireshark轻松解密TLS浏览器流量

引言

大多搞IT的人多少知道点Wireshark。它是一款浏览分析器,可以帮助你知道有多少网络在运行、诊断网络问题等等。

用Wireshark轻松解密TLS浏览器流量

Wireshark运行的一个问题是它无法轻易地分析出加密流量,如TLS。之前你只要有密钥,将它们输入Wireshark就可以解密流量,但只有在密钥交换机制使用RSA时才能起作用。随着使用正向加密的人开始变少,只拥有密钥并不足以得到用于解密数据的会话密钥。另外一个问题是,密钥不应该也不能离开客户端、服务器或者它所在的高速存储器。这让我想到非常具有争议的中间人方法(例如sslstrip)。

登录会话加密来救场!

朋友们,我要告诉你们还有一种更简单的办法!Firefox跟Chrome都支持登录会话对称加密,以将TLS流量加密至一个文件中。随后你可将Wireshark指向所述文件——神奇的时刻来了:我们得到了解密之后的TLS流量。下面来看看怎么进行设置。

设置浏览器

我们需要设置一个环境变量

Windows:

进入电脑属性页面,点击“高级系统设置”,点击“环境变量”

添加一个新的用户变量“SSLKEYLOGFILE”并将其指向你想要放日志文件的地方。

用Wireshark轻松解密TLS浏览器流量

Linux或Max OS X

1 $ export SSLKEYLOGFILE=~/path/to/sslkeylog.log

同时,将它加入Linux上如下代码的最后一行

1 ~/.bashrc

或者将

1 ~/.MacOSX/environment

添加到OS X,这样每当你登录时一切都已设置好。

下次当我们登录Firefox或者Chrome最新开发版时,它们会将你的TLS密钥登录到这个文件。

设置Wireshark

Wireshark

用Wireshark轻松解密TLS浏览器流量

扩展协议部分:

用Wireshark轻松解密TLS浏览器流量

浏览你的日志文件位置

用Wireshark轻松解密TLS浏览器流量

结果

它比我们正常看到的TLS包多了几行:

用Wireshark轻松解密TLS浏览器流量

当你转换到“解密SSL数据”标签时,会看到如下内容。现在,我们能够看到明文请求信息了!成功了!

用Wireshark轻松解密TLS浏览器流量

结论

我希望你今天能学到一些东西,这个方法让捕获TLS通信更容易。这个设置的好处之一是生成TLS流量的客户端/服务器无需Wireshark,因此你不需要用这些东西搞砸客户端机器,你可以让它们把日志转储到网络共享或将其复制并与机器共同做抓包。

分类:默认分类 时间:2012-01-02 人气:29
本文关键词:
分享到:

相关文章

  • 搜狗高速浏览器处理TLS证书不当可导致中间人攻击 2012-01-02

    搜狗高速浏览器处理SSL/TLS无效证书不当,可导致中间人攻击 当搜狗浏览器打开的https网页提供的SSL/TLS证书无效时(如自签名、域名不匹配),它会自动打开页面,且没有明显的文字提示。光在"https"上画个杠和锁上画个叉,我不知道有几个用户能注意到。 我曾经尝试使用HTTPS缓存污染,但是没成功,每次打开搜狗浏览器页面都会重新加载,至今没想明白为什么。也尝试过用跨站引用来窃取cookie,也没成功。证书不正确的资源会自动屏蔽。 但是以下两个利用是成功的(无需安装根证书、无需用户交互,部

  • 用wireshark获取网络中的未加密密码 2012-01-29

    这个测试只是为了提醒大家不要不要在公共网络中,或让其人有机可趁的网络中使用明文密码,或使用未加密密码的软件。 请勿拿来犯罪 测试环境 FTP 服务器一台 filezilla server FTP客户端一个 filezilla 免费套件 服务器是网上随便找的。比比皆是。 使用方法就不说了。太简单些 FTP 用户名 ftp:jdccie.com FTP 密码 jdccie.com 客户端就用这个 filezilla 客户端操作 1.点击 2.填写服务器地址和帐号密码。然后开起wireshark 点击

  • SQL报表错误"未能为SSL/TLS安全通道建立信任关系"解决方法 2012-07-25

      打开任何报表,都会提示:未能为 SSL/TLS 安全通道建立信任关系。   问题原因:SQL报表配置文件中,设置了SSL认证。   解决方法:   1.删除SQL报表配置文件中的SSL认证。   2.修改SQL报表配置文件:   位置:X:Program FilesMicrosoft SQL ServerMSRS10_50.MSSQLSERVERReporting ServicesReportServerrsreportserver.config   参数:,将参数值Value="2"修改为

  • 使用WireShark嗅探网站登陆密码 2012-09-11

    Step 1:安装wireshark,并开启网卡混杂模式,抓包。 Step 2:背景 东哥报销系统的账户和密码是自动登陆,时间长了密码不记得了,今天我们就通过wireshark来找回密码。 Step 3:对数据包进行过滤,命令如下 http.request.method== "POST" Step 4:接下来,点击POST事件那一行,然后右击选择“Follow TCP Stream” Step 5:我们分析报文内容,发现密码历历在目。 结论:目前很多大的网站对密码都进行MD5加密,这样即使黑客嗅

  • Wireshark分析非标准端口号流量 2012-09-26

    Wireshark分析非标准端口号流量 2.2.2 分析非标准端口号流量Wireshark分析非标准端口号流量 应用程序运行使用非标准端口号总是网络分析专家最关注的。关注该应用程序是否有意涉及使用非标准端口,或暗中想要尝试通过防火墙本文选自WireShark数据包分析实战详解清华大学出版社。 1.分配给另一个程序的端口号 当某数据包使用非标准端口上,如果被Wireshark识别出是使用另一个程序,则说明Wireshark可能使用了错误的分析器,如图2.19所示本文选自WireShark数据包分析

  • SSL/TLS最新漏洞受戒礼解析 2012-10-15

    2015年3月,还有约30%的网络通信是由RC4进行保护的。通过“受戒礼”攻击,攻击者可以在特定环境下只通过嗅探监听就可以还原采用RC4保护的加密信息中的纯文本,导致账户、密码、信用卡信息等重要敏感信息暴露,并且可以通过中间人(Man-in-the-middle)进行会话劫持。 攻击方法和模式 攻击者嗅探监听大量的SSL链接,可以判断第一个加密消息包含SSL的完成消息和HTTP请求,都是具有可预测的信息的。然后等待一个不变性弱密钥的链接到来,当获取到一个弱密钥链接时候就可以提取出LBS。当弱密钥

  • Windows 10邮件应用已支持TLS协议 默认禁用 2013-01-02

      大约三年前,微软在Windows 8上推出了首个Modern版邮件应用,现在Windows 10 内置邮件应用终于更新开始支持 TLS(传输层安全协议)。   Windows 10邮件应用已支持TLS协议   由于大多数邮件服务器都已经取消 SSL 3.0 支持,Windows用户在使用邮件应用时可能会遇到连接问题。不过在最新Windows 10 预览版中邮件应用已经更新,开始支持 TLS协议。   测试显示,由于应用要首先建立SSL连接,因此具体操作过程仍然有些小问题,即使手动更改端口也是

  • SSL/TLS中间人劫持漏洞告警 2013-07-16

    尊敬的用户: 安全研究人员发现新的SSL/TLS上的严重漏洞。发现该漏洞的研究人员指出,利用这一加密技术的漏洞,黑客可以窃取苹果Safari和谷歌Android浏览器的用户通信。 漏洞描述: 安全专家发现一种被称作FREAK(Factoring RSA Export Keys,分解RSA导出密钥)的攻击。该攻击利用NSA在20世纪90年代早期加密战争期间授权支持但已被弃用很久的“出口级”加密支持。尽管NSA在2000年便已放弃这个策略,但许多SSL/TLS客户端及服务器依然支持此类连接。当易受攻

  • VMProtect完全解析之TLS 2013-08-19

    听朋友说程序加了VMProtect后,很难破解,今天我们就来看看这个保护有多难。首先先分析下VMProtect最早执行的部分–TLS。今天我们的样本就先看看VMProtect的主程序,我用的是VMProtect Ultimate v 2.12.3版本,网上搜一下就可以下载得到。 VMProtect主要实现了一个自己的虚拟机,通过解析执行来完成相关的工作,直接看他的引擎本文暂不描述,我自己写了个解析器。将TLS部分解析后如下: SetReg32 38 GetImm32 9711ACF7 Add32

Copyright (C) quwantang.com, All Rights Reserved.

趣玩堂 版权所有 京ICP备15002868号

processed in 0.025 (s). 10 q(s)