Wireshark 可以透過 pre-master / master secret log 來解密 TLS stream 會長得像是這樣: - TLS 1.2 ``` CLIENT_RANDOM <client_random> <master_secret> ``` - TLS 1.3 ``` CLIENT_HANDSHAKE_TRAFFIC_SECRET <client_random> <client_hs_traffic_secret> SERVER_HANDSHAKE_TRAFFIC_SECRET <client_random> <server_hs_traffic_secret> CLIENT_TRAFFIC_SECRET_0 <client_random> <client_traffic_secret_0> CLIENT_TRAFFIC_SECRET_0 <client_random> <server_traffic_secret_0> ``` 假設要抓 browser 的 HTTPS 流量 可以把 `SSLKEYLOGFILE` 這個環境變數設成路徑 或是跑的時候加上 `--ssl-key-log-file <file>` 參數 之後就可以餵給 wireshark (Edit > Preferences > Protocols > TLS > (Pre)-Master-Secret log filename) 並從 wireshark 看到解密完的封包 要匯出的話 可以透過 `Export PDUs to File` 裡面選 `OSI Layer 7` 即可 Reference: - https://my.f5.com/manage/s/article/K50557518 - https://b.poc.fun/decrypting-schannel-tls-part-1/