文章插图
找到server random
此时将client random放到ssl.key的第二列里挨个去做匹配 。
就能找到对应的那一行记录 。
文章插图
ssl.key里的数据
注意第二列的那串字符串,也是以
"bff63bbe5"结尾的,它其实就是前面提到的client random 。再取出这一行的第三列数据,就是我们想要的
pre_master_key 。那么这时候
wireshark就集齐了三个随机数,此时就可以计算得到会话秘钥,通过它对数据进行解密了 。反过来,正因为需要客户端随机数,才能定位到
ssl.key文件里对应的pre_master_key是哪一个 。而只有TLS第一次握手(client hello)的时候才会有这个随机数,所以如果你想用解密HTTPS包,就必须将TLS四次握手能抓齐,才能进行解密 。如果连接早已经建立了,数据都来回传好半天了,这时候你再去抓包,是没办法解密的 。总结
-
• 文章开头通过抓包baidu的数据包,展示了用wireshark抓包的简单操作流程 。
-
• HTTPS会对HTTP的URL和Request Body都进行加密,因此直接在filter栏进行过滤http.host == "baidu.com"会一无所获 。
-
• HTTPS握手的过程中会先通过非对称机密去交换各种信息,其中就包括3个随机数,再通过这三个随机数去生成对称机密的会话秘钥,后续使用这个会话秘钥去进行对称加密通信 。如果能获得这三个随机数就能解密HTTPS的加密数据包 。
-
• 三个随机数,分别是客户端随机数(client random),服务端随机数(server random)以及pre_master_key 。前两个,是明文,第三个是被服务器公钥加密过的,在客户端侧需要通过SSLKEYLOGFILE去导出 。
-
• 通过设置SSLKEYLOGFILE环境变量,再让curl或chrome会请求HTTPS域名,会让它们在调用TLS库的同时导出对应的sslkey文件 。这个文件里包含了三列,其中最重要的是第二列的client random信息以及第三列的pre_master_key 。第二列client random用于定位,第三列pre_master_key用于解密 。
极客时间 -《网络排查案例课》
【为什么我抓不到baidu的数据包?】
推荐阅读
- 为什么Java线程没有Running状态?
- 为什么短短两周之后就鲜有人继续讨论ChatGPT了?
- 为什么有些腕表被称为医生表?
- cmpunk出场曲?wwe CMPUNK 的GTS 永远沉睡 怎么用 我为什么每次扔人都是 仰着头下去的而不是面朝下呢?
- 戴燕妮|一路走好!阿星因病去世,22岁妻子也随他而去,女儿还不到2岁
- 银元|为什么钱币收藏非常适合大众而且可以一直收藏
- 诸葛亮为什么要七擒七纵孟获? 七擒七纵孟获
- 宋祖儿|李连杰又去拜佛,61岁利智和2个女儿陪同,他为什么如此热衷佛学
- 玛莎百货在英国现状?为什么玛莎百货全面退出中国?
- 请问现在58同城,百姓网,赶集网为什么看不到企业招聘的电话啊 呼伦贝尔百姓赶集网