流量/协议分析篇--wireshark抓取HTTPS明文流量配置教

admin 2022年6月4日12:39:41应急响应评论27 views1831字阅读6分6秒阅读模式

前言

以前在使用wireshark做协议分析的时候,一直以为它只能抓 HTTP 的报文,所以在抓 HTTPS 包的时候一直是用的Fiddler,然而有一天我突然想抓一下HTTP2的报文看一看,Fiddler就不行了,于是在一番 google 之后发现wireshark是可以支持的,只不过需要在特定的条件下才可以。

Fiddler 存在的问题

Fiddler目前还不支持HTTP2协议,无法看到真正的HTTP2报文,这里有些人可能会有疑问,说我明明就用Fiddler抓到了HTTP2协议的报文啊,那是因为Fiddler中间人攻击服务器通过协商把协议降级成了HTTP1协议,所以实际上看到的还是的HTTP1的报文,通过下面两个图片可以直观的感受到:

  • 不通过代理,直接访问支持 HTTP2 的服务

流量/协议分析篇--wireshark抓取HTTPS明文流量配置教


  • 通过代理访问,进行抓包


流量/协议分析篇--wireshark抓取HTTPS明文流量配置教


可以看到在通过代理抓包的时候,协议变成了http/1.1

使用 wireshark 抓取

现在市面上的主流浏览器实现的 HTTP2 都是基于TLS的,也就是说要分析HTTP2报文得先过了TLS这一关,不然只能分析一堆加密的乱码。

wireshark支持两种方式来解密SSL/TLS报文:

  1. 通过网站的私钥

  2. 通过浏览器的将 TLS 对称加密秘保存在外部文件中,以供 wireshark 加解密

下面我来一一进行演示

1. 通过网站的私钥

如果你想抓取的网站是你自己的,那么可以利用这种方式,因为这需要使用网站生成证书使用的私钥进行解密,就是那个 nginx 上配置的ssl_certificate_key对应的私钥文件,把它添加到 wireshark 配置中:


流量/协议分析篇--wireshark抓取HTTPS明文流量配置教

然后通过wireshark就可以看到明文了:



流量/协议分析篇--wireshark抓取HTTPS明文流量配置教


通过上图可以看到,我通过curl访问的 https 协议的 URL,在配置了该服务器对应的私钥后可以抓取到对应的 HTTP 明文。

不过缺点也非常明显,只能分析自己持有私钥的网站,如果别人的网站就分析不了了,所幸的是还有第二种方案来支持。

2. 通过浏览器的 SSL 日志功能

目前该方案只支持ChromeFirefox浏览器,通过设置SSLKEYLOGFILE环境变量,可以指定浏览器在访问SSL/TLS网站时将对应的密钥保存到本地文件中,有了这个日志文件之后wireshake就可以将报文进行解密了。

  1. 首先设置SSLKEYLOGFILE环境变量:


流量/协议分析篇--wireshark抓取HTTPS明文流量配置教



注:这是在 windows 系统上进行操作的,其它操作系统同理

2.配置wireshake,首选项->Protocls->TLS:


流量/协议分析篇--wireshark抓取HTTPS明文流量配置教


将第一步中指定的文件路径配置好

3.重启浏览器,进行抓包:


流量/协议分析篇--wireshark抓取HTTPS明文流量配置教


  1. 同样的可以抓取到 HTTP 明文。

    注:不抓包时记得把环境变量删掉,以避免性能浪费和安全性问题

方案二的优点非常明显,可以抓取任意网站的SSL/TLS加密的报文,唯一的缺点就是只能是浏览器支持的情况才行,而方案一可以针对任何 HTTP 客户端进行抓包。

通过 wireshake 抓取 HTTP2 报文

上面都是针对TLS+HTTP1进行的抓包,市面上主流的浏览器的HTTP2都是基于TLS实现的,所以也是一样的,把TLS这层解密了自然看到的就是最原始的明文。

这里以分析https://www.qq.com为例,为什么不是经典htts://www.baidu.com,因为百度首页至今还是HTTP/1.1协议。

  1. 使用上面的第二种方案配置好wiresharke

  2. 通过http2关键字做过滤

  3. 浏览器访问https://www.qq.com

  4. 查看HTTP2报文:


流量/协议分析篇--wireshark抓取HTTPS明文流量配置教


  1. 这样就抓取到了HTTP2报文了,HTTP2 协议非常复杂,我也还在学习阶段,这里就不多说啥了。

后记

wireshake 真的是一款非常强大的网络分析工具,在HTTPSHTTP2日渐成为主流的时候,可以用它来帮助我们加深对这些协议的理解,以便迎接新的机遇与挑战。

转自:mokeyWie

链接:http://monkeywie.cn/2020/08/07/wireshark-capture-https/

流量/协议分析篇--wireshark抓取HTTPS明文流量配置教


流量/协议分析篇--wireshark抓取HTTPS明文流量配置教

推荐阅读   

【入门教程】常见的Web漏洞--XSS

【入门教程】常见的Web漏洞--SQL注入

sql注入--入门到进阶

短信验证码安全常见逻辑漏洞

最全常见Web安全漏洞总结及推荐解决方案

常见的Web应用的漏洞总结(原理、危害、防御)

代码审计常见漏洞总结

Web安全漏洞的靶场演示

13 款 Linux 比较实用的工具

xss攻击、绕过最全总结


流量/协议分析篇--wireshark抓取HTTPS明文流量配置教

   学习更多技术,关注我:   

觉得文章不错给点个‘再看’吧

原文始发于微信公众号(编码安全研究):流量/协议分析篇--wireshark抓取HTTPS明文流量配置教

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月4日12:39:41
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  流量/协议分析篇--wireshark抓取HTTPS明文流量配置教 http://cn-sec.com/archives/1085343.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: