如何解密SSL在 Linux 中使用 Chrome 或 Firefox 和 Wireshark
42686
Created On 07/11/22 21:23 PM - Last Modified 10/16/24 23:57 PM
Objective
捕获SSL来自 Chrome 或 Firefox 中加密的网络浏览或其他网络应用程序流量的会话密钥,并使用它来解密 Wireshark 中的数据包捕获。
Environment
- Linux
- Chrome 85 或更新版本,或者 Firefox 81 或更新版本
- Wireshark 3.2.7 或更新版本
- SSL/TLS会话使用RSA,DHE或者ECDHE密钥交换算法。
Procedure
1. 完全关闭 Chrome 或 Firefox。 确保所有实例都已关闭。
2. 打开终端窗口并设置SSLKEYLOGFILE环境变量使用以下命令。
出口SSLKEYLOGFILE="/家/$USER /sslkey.log"
不要关闭终端窗口。 |
3. 启动Wireshark 或tcpdump,开始抓包。
4.使用在步骤 2 中用于设置环境变量的终端窗口启动 Chrome 或 Firefox。 (环境变量仅为该特定终端会话设置)。
对于铬:
铬浏览器&
对于火狐:
火狐 &
5.使用终端验证是否创建了 sslkey.log 文件。
文件/家/$USER /sslkey.log
如果正确创建文件,预期输出将是:
/home/user1/sslkey.log:ASCII文本
6. 浏览到正在测试的网站或 Web 应用程序并运行需要捕获的所有操作。
在我们的示例中,我们从EICAR安全站点。
7. 检查 Wireshark 以确认活动已正确收集,并停止捕获。
8. 在 Wireshark 中转到 [编辑 > 首选项 > 协议 >SSL ]. 在 (Pre)-Master-Secret log filename 下,选择在第 5 步中创建的 sslkey.log 文件,然后单击OK.
9. 解密后的抓包显示在 Wireshark 中。
10. (可选)遵循HTTP流以可视化解密的内容。
注1:本文仅供参考。 Palo Alto Networks 不支持任何第三方操作系统。
Additional Information
目前没有办法从 Wireshark 中导出解密的数据包捕获PCAP格式,但是,有三个选项:
- 分享PCAP文件及其相应的 sslkey.log 文件发送给预期的收件人。
- PDU 导出解密数据:
将结果输出保存到PCAPNG文件。
- 跟随解密HTTP流(第 10 步),选择“数据显示和另存为”:ASCII ,然后选择“另存为...”。 这会将打印的流输出保存在明文文件中。