解密HTTPS流量的两种方法

• 携带服务器X.509证书链
• 主证书必须第一个发送，中间证书按照正确的顺序跟在主证书之后
• 服务器必须保证发送的证书和选择的算法套件一致
• Certificate消息时可选的

(10) ServerKeyExchange：携带密钥交换的额外数据，取决于加密套件

(11) ServerHelloDone：服务器已将所有预计的握手消息发送完毕

(12) ClientkeyExchange：携带客户端为密钥交换提供的信息

(13) ChangeCipherSpec：发送端已取得用以连接参数的足够的信息

(14) Finish：握手完成，消息内容加密，双方可以交换验证，整个握手完整性所需的数据

(15) 算法：verrify_data = PRF(master_secret , finished_label,hash(handshake_message))

要解密HTTPS流量，需要得到加密密钥，加密密钥由主密钥、客户端随机数、服务器随机数生成。由上述握手过程可知，客户端随机数和服务器随机数在双方握手消息中传递，而主密钥(master_secret)则由预主密钥(pre_master_secret)结合两个随机数生成。预主密钥通过密码套件中的密钥交换算法进行交换(DH、RSA)。

因此，通过Wireshark解密HTTPS，可以从两个地方下手：

• 密钥交换算法选择RSA，然后提取服务器的私钥，将私钥导入Wireshark，通过Wireshark解密密钥交换过程中传递的预主密钥，再结合之前的客户端和服务器随机数生成主密钥，进一步生成加密密钥，即可解密后续抓取到的加密报文。
• 直接从客户端提取主密钥，结合客户端和服务器随机数生成加密密钥，实现对加密报文的解密。

下面演示两种方法解密HTTPS流量。

方法一

从服务器上导出带私钥的P12格式的证书，或者直接导出服务器的私钥。

捕获从TCP三次握手开始的完整报文：

（编辑：平顶山站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!