如何 SSL 解密使用铬或火狐和有线鲨鱼在窗口
100823
Created On 10/10/20 05:11 AM - Last Modified 11/01/21 21:11 PM
Objective
SSL在 Chrome 或 Firefox 中从加密的 Web 浏览或其他 Web 应用流量中捕获会话密钥,并用它来解密 Wireshark 中的分组捕获。
Environment
- 视窗 7 或视窗 10
- Chrome 85 或更高版本,或 Firefox 81 或更高版本
- 线沙克 3.2.7 或更高版本
- SSL/ TLS 使用 RSA DHE 或 ECDHE 键交换算法的会话。
Procedure
1. 完全关闭 Chrome 或 Firefox。 确保所有实例都已关闭。
2. 打开"开始"菜单,然后 键入 env,选择"为您的帐户编辑环境变量"。
3. 在"环境变量"窗口中,在"用户变量为 %用户%"下,单击"新..."。
4. 在"新用户变量"窗口输入中:
可 SSLKEYLOGFILE
变名称:可变值 USERPROFILE :% %\桌面\sslkey.log
5. 单击 OK 以接受"新用户变量"条目, OK 并接受并关闭新的"环境变量"窗口。
6. 启动线罩,并开始数据包捕获。
7. 启动色度或火狐,并验证是否创建了 sslkey .log文件。
8. 浏览到正在测试的网站或 Web 应用程序,并运行需要捕获的所有操作。
在我们的示例中,我们从安全站点下载恶意软件测试文件 EICAR 。
9. 检查是否正确收集了数据包捕获,并停止捕获。
20M 在Wireshark中转到[编辑>首选项>协议 TLS >]。 在(Pre)-主机密日志文件名下,选择步骤 7 中创建的 sslkey .log文件,然后单击 OK 。
11. 解密的数据包捕获显示在有线鲨鱼中。
12. (可选)跟随 HTTP 流可视化解密的内容。
Additional Information
目前无法以格式从 Wireshark 导出解密的数据包捕获 PCAP ,但是,有三种选择:
- PCAP将文件及其相应的 sslkey .log文件共享给预期收件人。
- PDU 已解密数据的导出:
要导出解密 PDU 的"转到文件>导出 PDU "到文件> OSI 层 4,或 OSI 第 7 层。
将生成的输出保存到 PCAPNG 文件中。
将生成的输出保存到 PCAPNG 文件中。
- 按照解密 HTTP 流(步骤 12),选择"显示并保存数据为": ASCII 然后选择"保存为。。。"。 这会将打印的流输出保存在明文文件中。