[筆記] Wireshark 解 TLS & 解密封包匯出
Wireshark 可以透過 pre-master / master secret log 來解密 TLS stream
會長得像是這樣:
- TLS 1.2
```
CLIENT_RANDOM <client_random> <master_secret>
```
- TLS 1.3
```
CLIENT_HANDSHAKE_TRAFFIC_SECRET <client_random> <client_hs_traffic_secret>
SERVER_HANDSHAKE_TRAFFIC_SECRET <client_random> <server_hs_traffic_secret>
CLIENT_TRAFFIC_SECRET_0 <client_random> <client_traffic_secret_0>
CLIENT_TRAFFIC_SECRET_0 <client_random> <server_traffic_secret_0>
```
假設要抓 browser 的 HTTPS 流量
可以把 `SSLKEYLOGFILE` 這個環境變數設成路徑
或是跑的時候加上 `--ssl-key-log-file <file>` 參數
之後就可以餵給 wireshark (Edit > Preferences > Protocols > TLS > (Pre)-Master-Secret log filename)
並從 wireshark 看到解密完的封包
要匯出的話 可以透過 `Export PDUs to File` 裡面選 `OSI Layer 7` 即可
Reference:
- https://my.f5.com/manage/s/article/K50557518
- https://b.poc.fun/decrypting-schannel-tls-part-1/
2024-09-28 02:20:15
留言
Last fetch: --:--
現在還沒有留言!