hihttps教你在wireshark中提取旁路https解密源码

最新推荐文章于 2025-10-28 08:45:00 发布
原创 最新推荐文章于 2025-10-28 08:45:00 发布 · 1.5k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#旁路解密https #SSL解密 #SSL WEB应用防火墙

本文详细介绍如何利用Wireshark的源码实现HTTPS流量的旁路解密,包括解密条件、SSL解密密钥计算流程及核心代码解析。

大家好,我是hihttps,专注SSL web安全研究,今天本文就是教大家怎样从wireshark源码中,提取旁路https解密的源码,非常值得学习和商业应用。

一、旁路https解密条件
众所周知,都知道wireshark中设置一定的条件,可以解密出https的通信成明文。
https是加密传输的,旁路一般情况是无法解密的,但为什么服务器和客户端可以解密成明文呢,那就是双方都有密钥。所以旁路https解密的条件是:
1、知道服务端的私钥。(如RSA静态密钥配置)
2、知道客户端浏览器的密钥。(如chrome的开发者模式会把密钥存到文件)
如何知道和设置密钥,请大家在百度搜索相关文章。如https://blog.youkuaiyun.com/wangyiyungw/article/details/82178339

二、wireshark对SSL解密密钥计算流程
1、通过抓包Client端Hello和Server端Hello报文得到两边随机数client_random和server_random。
2、客户端将permaster 通过Sever端证书公钥密钥加密后,发送给服务器,Server用私钥的解密得到解密后的permaster。
3、Client端和Server端分别根据client_random、server_random和permaster_secret生成master secret就是能解密正常报文。

三、代码查找
首先在wireshark官网下载源码,解压到本地硬盘,进入…\epan\dissectors目录,搜索带有“ssl”关键字的.c文件,找到packet-ssl-utils.c和packet-ssl.c,核心的解密算法全部在packet-ssl-utils.c这个文件里面。哈哈,加密解密虽然复杂,但wireshark用了libgcrypt这个库,事半功倍,我们来欣赏一下核心函数。
1、packet-ssl-utils.h几个重要的结构体,用来存储SSL会话相关解密信息。
/* SSL 对话信息结构体 /
typedef struct _SslDecryptSession {
guchar _master_secret[SSL_MASTER_SECRET_LENGTH]; //非常重要的解密密钥
guchar _session_id[256]; //sesstion id
guchar _client_random[32]; //客户端随机数
guchar _server_random[32];//服务端随机数
StringInfo session_id;//session id 用于ssl/tls 快速握手,不必每次计算密钥
StringInfo session_ticket;//session ticket,用于ssl/tls 快速握手,不必每次计算密钥
StringInfo server_random;//服务端随机数
StringInfo client_random;//客户端及随机数
StringInfo master_secret;//主解密密钥
StringInfo handshake_data;//握手报文
/ the data store for this StringInfo must be allocated explicitly with a capture lifetime scope */
StringInfo pre_master_secret;//pre_master_secret
guchar _server_data_for_iv[24];//服务端解密向量
StringInfo server_data_for_iv;
guchar _client_data_for_iv[24];//可客户端解密向量
StringInfo client_data_for_iv;

gint state;//状态
const SslCipherSuite *cipher_suite;//加密套件
SslDecoder *server;//服务端解密结构体指针
SslDecoder *client;//肯定解密结构体指针
SslDecoder *server_new;
SslDecoder *client_new;

#if defined(HAVE_LIBGNUTLS)
gcry_sexp_t private_key;
#endif
StringInfo psk;
StringInfo app_data_segment;
SslSession session;
gboolean has_early_data;

} SslDecryptSession;

2、packet-ssl-utils.c里面的几个重要的函数:

//HMAC消息摘要信息计算
ssl_hmac/md_init(SSL_HMAC* md, const void * key, gint len, gint algo)
ssl_hmac/md_update(SSL_HMAC* md, const void* data, gint len)
ssl_hmac/md_final(SSL_HMAC* md, guchar* data, guint* datalen)
ssl_hmac/md_cleanup(SSL_HMAC* md)

// sha/md5计算
ssl_sha/md5_init(SSL_SHA_CTX* md)
ssl_sha/md5_update(SSL_SHA_CTX* md, guchar* data, gint len)
ssl_sha/md5_final(guchar* buf, SSL_SHA_CTX* md)
ssl_sha/md5_cleanup(SSL_SHA_CTX* md)

//加载解密私钥和证书
ssl_private_decrypt(const guint len, guchar* data, gcry_sexp_t pk)
ssl_load_keyfile(const gchar *ssl_keylog_filename, FILE **keylog_file,
const ssl_master_key_map_t *mk_map)

//验证HMAC和计算伪随机数
tls_hash(StringInfo secret, StringInfo seed, gint md,
StringInfo out, guint out_len)
tls12_prf(gint md, StringInfo secret, const gchar usage,
StringInfo rnd1, StringInfo* rnd2, StringInfo* out, guint out_len)

//计算pre_master_secret
ssl_generate_pre_master_secret(SslDecryptSession *ssl_session,
guint32 length, tvbuff_t *tvb, guint32 offset,
const gchar *ssl_psk,
const ssl_master_key_map_t mk_map)
//计算master_secret
ssl_generate_keyring_material(SslDecryptSessionssl_session)

3、解密核心入口函数,输入密文,输出明文
ssl_decrypt_record(SslDecryptSession *ssl, SslDecoder *decoder, guint8 ct, guint16 record_version,
gboolean ignore_mac_failed,
const guchar *in, guint16 inl, StringInfo *comp_str, StringInfo *out_str, guint *outl)
{
tls_decrypt_aead_record…
ssl_cipher_suite_dig…
ssl_cipher_decrypt…
tls_check_mac…

}
代码很长,就不贴出来来,大家自行去下wireshark源码吧,全部的解密过程都在packet-ssl-utils.c这个文件中。

总体说来:旁路解密https涉及到密码学的很多东西,没这方面的基础,看不懂也很正常。好在有很多开源大神贡献了源码,我们只需要复制拷贝,掌握关键的函数入口,就可以成功抽丝剥茧,把核心的源码剥离出来了,有需要的可以访问https://github.com/qq4108863联系获取。

所以如果任意一方泄漏了密钥,HTTPS也是不安全的,并不能阻止被攻击。如果有网站,可以在github上下载一个SSL web应用防火墙,如hihttps是开源免费的。

corpcorp
关注
四十六:如何使用Wireshark解密TLS/SSL报文?
W楠的博客
12-12 3958
通过Wireshark解密TLS/SSL流量可以帮助开发人员和安全分析师深入了解网络通信。本文介绍了三种解密方法,其中使用TLS密钥日志文件是一种通用且推荐的方式。希望本文能为您的调试工作提供帮助。一:浏览器发起 HTTP 请求的典型场景_浏览器如何发送用户名密码的请求-优快云博客二:基于ABNF语义定义的HTTP消息格式-优快云博客三:网络为什么要分层:OSI模型与TCP/IP模型-优快云博客四:HTTP的诞生:它解决了哪些网络通信难题?-优快云博客。
HTTPS报文分析(Wireshark
热门推荐
抽象的螺旋
08-22 1万+
https报文分析
WireShark抓包http,解密https
最新发布
微小冷的学习笔记
10-28 3316
本文介绍了HTTP协议的基本概念和抓包分析技术。主要内容包括:1)HTTP协议的发展历程,从HTTP1.x到HTTP3的演变,重点说明加密机制的变化;2)HTTP抓包方法,演示如何通过Wireshark捕获明文HTTP流量;3)HTTPS解密技术,详细讲解配置浏览器导出TLS密钥实现HTTPS流量解密的过程;4)HTTP状态码分类,列举了1XX-5XX共5大类状态码及其具体含义。文章通过实际案例展示了网络协议分析的技术细节,为理解HTTP/HTTPS协议工作原理提供了实用参考。
HTTPS概念&wireshark分析
master-dragon的专栏
07-18 2859
第一,发送方在发送信息前,需先与接收方联系,同时利用公钥加密信息,信息在进行传输的过程当中一直是处于密文状态,包括接收方接收后也是加密的,确保了信息传输的单一性,若信息被窃取或截取,也必须利用接收方的私钥才可解读数据,而无法更改数据,这也有利保障信息的完整性和安全性。第二,数字证书的数据签名类似于加密过程,数据在实施加密后,只有接收方才可打开或更改数据信息,并加上自己的签名后再传输至发送方,而接收方的私钥具唯一性和私密性,这也保证了签名的真实性和可靠性,进而保障信息的安全性。私钥是不公开的,解密时使用。
WiresharkHTTPS数据的解密
weixin_34252686的博客
08-29 7010
本文来自网易云社区之前有介绍《wireshark抓包分析——TCP/IP协议》,然后某天有人问我,示例里是HTTP的,如果是HTTPS,你可以抓包分析吗?基于好奇,我查阅了下相关资料,把一些浅见分享给大家。在讲HTTPS解密之前先来看下HTTPS与HTTP的不同之处,HTTPS是在TCP/IP与HTTP之间,增加一个安全传输层协议,而这个安全传输层协议一般用SSL或TLS,类似于下图。即HTTP...
wireshark解密https
sun007700的专栏
08-04 380
httpsssl)协议以及wireshark抓包分析与解密 https://blog.youkuaiyun.com/u010726042/article/details/53408077 https://jingyan.baidu.com/article/20b68a88b2af7f796cec62b3.html 新建C:\sslkey\sslkeylog.log并设置环境变量SSLKEYLOGFILE ...
wireshark 解密浏览器https数据包
杰克东的专栏
10-16 7976
1、ssl-key-log-file定义在services\network\public\cpp\network_switches.cc2、环境变量SSLKEYLOGFILE} else {#else#endif总结:优先取--ssl-key-log-file 再取SSLKEYLOGFILE环境变量值。
【高阶调试技巧】使用Wireshark+Chrome DevTools联调Video DownloadHelper与VdhCoApp交互流(精准抓包与...
![【高阶调试技巧】使用Wireshark+Chrome DevTools联调Video DownloadHelper与VdhCoApp交互流(精准抓包与时间对齐的4大秘诀)]...本文系统探讨了视频下载工具链中基于Wireshark与Chrome DevTo
sip工具captagent详解,需包含socket protocol transport function部分,翻译并介绍Main Features
09-29
我们正在讨论sip工具captagent。根据用户要求,需要详细解释captagent,包含socket...> 提示:CaptAgent的源码托管在[GitHub](https://github.com/sipcapture/captagent),但需注意其维护状态和文档更新延迟问题[^3]。
边缘设备安全加固:ESP32模型防篡改与数据加密的6种高阶手段
随着物联网终端向边缘计算演进,设备直面物理接触、固件提取、侧信道攻击等多重威胁。ESP32作为主流低功耗SoC,在成本与性能间取得平衡,其内置的安全特性成为构建可信边缘节点的关键基础。本章将剖析边缘设备典型...
2015-5-23PDF的下载链接
qq2011705918的专栏
05-23 4235
iOS传感器应用开发最佳实践_PDF电子书下载 带书签目录 完整版http://pan.baidu.com/s/1dDtSP2L   Node应用程序构建  使用MongoDB和Backbone_PDF电子书下载 带书签目录 完整版 http://pan.baidu.com/s/1c04KnNM   PhoneGap移动应用开发手册_PDF电子书下载 带书签目录 完整版 http://pan.
wireshark源代码
12-23
wireshark源代码,学习协议的好帮手 wireshark源代码,学习协议的好帮手wireshark源代码,学习协议的好帮手wireshark源代码,学习协议的好帮手
wireshark源码
03-08
wireshark源码 安装步骤和方法,供大家参考。 安装编译工具:   $sudo apt-get install build-essential   为了成功编译Wireshark,您需要安装GTK+的开发文件和GLib库(libraries)。   $sudo apt-get install libgtk2.0-dev libglib2.0-dev   安装Checkinstall以便管理您系统中直接由源代码编译安装的软件。   $sudo apt-get install checkinstall 下载后的文件名:wireshark-1.2.2.tar.bz2 cd到文件目录解压:$tar -xvf wireshark-1.2.2.tar.bz2 $cd wireshark-1.2.2 编译安装命令如下: $./configure $make $sudo make install 其中make编译时间会比较长,这样下来就基本安装了。 下面是我这篇文章的关键,也是用ubuntu安装的过程中极有可能遇到的问题,且都是在进行./configure编译过程中出现,两个问题如下: 问题1: configure: error: I couldn't find yacc (or bison or ...); make sure it's installed and in your path 解决办法: sudo apt-get install flex bison yacc(Yet Another Compiler Compiler),是Unix/Linux上一个用来生成编译器的编译器(编译器代码生成器)。 问题2: configure: error: Header file pcap.h not found; if you installed libpcap from source, did you also do "make install-incl", and if you installed a binary package of libpcap, is there also a developer's package of libpcap, and did you also install that package? 问题原因是ubuntu下缺少pcap.h等文件。 解决方法: 编译安装libpcap. 在www.tcpdump.org页面中可下载源码:libpcap-1.0.0.tar.gz cd到文件目录: view plaincopy to clipboardprint? $tar -xvf libpcap-1.0.0.tar.gz $cd libpcap-1.0.0.tar.gz $./configure $make $sudo make install $tar -xvf libpcap-1.0.0.tar.gz $cd libpcap-1.0.0.tar.gz $./configure $make $sudo make install
wireshark-源码
01-23
Wireshark是一个免费开源的网络数据包分析软件。网络数据包分析软件的功能是截取网络数据包,并尽可能显示出最为详细的网络数据包数据。 在过去,网络数据包分析软件是非常昂贵,或是专门属于营利用的软件,Wireshark的出现改变了这一切。在GNU通用公共许可证的保障范围底下,用户可以以免费的代价获取软件与其代码,并拥有针对其源代码修改及定制的权利。Wireshark是当前全世界最广泛的网络数据包分析软件之一。
【MT8880芯片驱动开发:从基础到高级全攻略】
![【MT8880芯片驱动开发:从基础到高级全攻略】](https://sstar1314.github.io/images/Linux_network_internal_netdevice_register.png) ...在高级功能实现章节,着重分析了通信协议支持、性能优化和安全性考
Wireshark 解密https 数据
大哥一声吼
05-25 4791
默认情况下 wireshark 抓到的https 数据包都是加密后的,无法展示明文内容。
wirshark解密https
吃不饱、力不足的博客
07-30 194
1.WiresharkHTTPS数据的解密 2.Wireshark解密HTTPS数据流 - 池温希傲 - 博客园 (cnblogs.com)
Wireshark程:解密HTTPS流量
YJ_12340的博客
07-20 5299
程面向进行流量分析的安全专业人员。本程假定你已经熟悉Wireshark的基本使用,并使用Wireshark3.x版。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值