Wireshark、Burpsuite、Charles三大抓包神器抓取https明文

一、wireshark抓取https报文

1.系统变量配置

通过设置系统变量SSLKEYLOGFILE来达到解密https的效果,tls握手结束后,会将session key存放到SSLKEYLOGFILE定义的keylog中,wireshark通过加载keylog文件,将https解密成明文。

打开电脑属性-->高级系统设置-->环境变量,设置文件路径:

2.Pre-Master-Secret配置

在wireshark首选项中,选择TLS协议,编辑Pre-Master-Secret文件路径:

3.抓包实战

如下我们抓取到一条腾讯云官网的https报文,解密后如下,HTTP头部、请求方法(GET)都可以直观看到:

二、burpsuite抓取https报文

burpsuite在渗透领域占有一席之地,有拦截阻断、改包、爆破等各种强大功能,当然也包括作为中间人给client转发并解密的能力,burpsuite可通过此链接下载,解压密码为Rokas.Yang,需要安装JDK环境后使用。

1.配置代理监听器

Proxy --> Options --> Proxy Listeners,设置本地回环地址即可

浏览器设置代理为本地8080端口

那么所有通过浏览器访问的请求,都会先经过burpsuite

2.配置Intercept

Intercept顾名思义,用于拦截改包,如果只是为了解密https,不进行改包操作,将此选项置为off即可:

3.安装Burpsuite签发的CA证书

设置代理后,访问http://burp即可,burpsuite会将http://brup劫持,提供证书下载的web页面,下载内置证书到本地:

导入到受信任证书的列表即可:

4.开始抓包

一切都准备就绪后,浏览器开始访问,还是以腾讯云官网为例:

进入到HTTP hitory页面,这里会实时显示刚刚抓到的包,可以清晰看出,https解密后报文里面的内容为client向腾讯云服务器发送了一条HTTP GET请求,并得到了响应。

同时可以精细化过滤我们想要的请求,支持正则表达式:

Target模块中Site map是整理好的站点地图:

5.手机终端通过Burpsuite代理抓取明文

代理模块设置监听地址为本地内网IP:

手机通过同一局域网络,设置WIFI代理到本机IP:PORT即可

同理,手机端也需要安装burp CA证书,burp下载的证书为.der后缀格式,有些手机无法识别此格式文件,为此我转成了.cer格式,下载链接:https://data.linux-code.com/?dir=filelist/Software/CA,下载并安装burp-cacert.cer文件即可。

此时手机访问外网,会经过本地电脑的burpsuite再到路由器出去,所有流量都会被burpsuite截取并转发出去,包括手机APP。

我们抓取京东APP的数据为例:

https被成功解密成了明文。

三、charles抓取https报文

charles是一款小巧的代理抓包工具,同样具备颁发CA证书,解密https的功能,官方下载链接:https://www.charlesproxy.com/download/latest-release

1.代理配置

Proxy --> SSL Proxying Settings,如下图,打开SSL代理,并配置代理内容,所有主机端口

Proxy --> Proxy Settings设置代理端口,默认为8888,并且默认会代理本机

2.安装CA证书

浏览器设置代理到本机 8888端口后,访问http://chls.pro/ssl自动下载证书文件,pem格式,电脑可能无法识别,同理我转换了一份.crt格式的,在https://data.linux-code.com/?dir=filelist/Software/CA下载安装即可,导入方式和安装Burpsuite的CA证书一致,这里不再赘述。

3.抓包实战

接下来尝试抓取https请求,同样以腾讯云官网为例:

浏览器打开官网后,可以看到CA根证书就是我们导入的证书,并抓取到https明文:

Structure整理好了每个站点的访问结构,类似于sitemap的功能:

4.手机终端通过charles代理抓取明文

和burpsuite的配置逻辑一致,手机WIFI设置代理到本地电脑的charles监听端口(默认8888),证书安装亦是如此,不再赘述。

同理我们抓取下京东APP的https请求:

成功抓取到http明文请求及响应头。

四、总结

三款软件有抓取https明文的能力,但适用场景有所不一样:

  • wireshark更适用于协议层面的分析定位,没有拦截、改包功能;
  • burpsuite功能强大,功能基本覆盖了charles,两者都具备中间人转发能力,但仅仅停留在HTTP协议层面;
  • charles小巧精简,不具备拦截改包能力,适用于分析终端设备网络场景。

同时上传了PDF版本: Wireshark、Burpsuite、Charles三大抓包神器抓取https明文.pdf

posted @ 2024-04-03 16:28  CharyGao  阅读(72)  评论(0编辑  收藏  举报