WireShark怎么看到TLS的明文？

水木社区手机版

主题:WireShark怎么看到TLS的明文？
楼主|z16166|2022-11-25 15:33:11|只看此ID
在chrome中设置了SSLKEYLOGFILE环境变量，这个文件里面也记录了key。

WireShark中也设置了TLS协议使用这个pre-master-secret key file。

但是wireshark中点击TLS packet并没有出现有些文章中所说的“decrypted TLS traffic”这个TAB窗口。

这个窗口不能手动搞出来？
--
FROM 114.241.227.*
1楼|wallyz|2022-11-25 18:35:47|只看此ID
要么是keylog导出的不对，要么就是导出的keylog和你这次抓的包不是同一次/同一个连接的

正常的话，设置了对应的keylog，TLS的包是能自动解开的，至少我用的4.0的wireshark是可以的

keylog里面的内容应该是这样一些东西：

CLIENT_HANDSHAKE_TRAFFIC_SECRET e45bf94741344cc6d7d6f75088813eb036a9b212535f915178fef2bb485703c5 abd42fdd420967d1317e23ed54acaa7af35fa883767725b4e5dc1d7a6c5560c2
SERVER_HANDSHAKE_TRAFFIC_SECRET e45bf94741344cc6d7d6f75088813eb036a9b212535f915178fef2bb485703c5 568eef2cd08a88712cacc5133d3f963ad289a0d1ce1db4f72abc03b36fdb4b0d
CLIENT_TRAFFIC_SECRET_0 e45bf94741344cc6d7d6f75088813eb036a9b212535f915178fef2bb485703c5 e190fcef9bd59e0a323ea95b7126822ed4d263bd4b59f894980787114b042e00
SERVER_TRAFFIC_SECRET_0 e45bf94741344cc6d7d6f75088813eb036a9b212535f915178fef2bb485703c5 20071c5fb1ad5b9162be2ecb712b99d90d500b14c3d9089e2b881181ad858ea5

解开的包的模样：

【在 z16166 的大作中提到: 】
: 在chrome中设置了SSLKEYLOGFILE环境变量，这个文件里面也记录了key。
: WireShark中也设置了TLS协议使用这个pre-master-secret key file。
: 但是wireshark中点击TLS packet并没有出现有些文章中所说的“decrypted TLS traffic”这个TAB窗口。
: ...................

--
FROM 123.168.94.*
2楼|z16166|2022-11-25 18:48:32|只看此ID
key log里难道只能有单次tls连接的信息？感觉wireshark应该去keylog文件里挨个尝试才对。

因为如果一直在用chrome的话，好像一直在追加这个文件。

我试试单次连接的。不太好搞的样子，因为访问一个页面，可能会有多次的请求，不知道是不是keep-connection的。

【在 wallyz 的大作中提到: 】
: 要么是keylog导出的不对，要么就是导出的keylog和你这次抓的包不是同一次/同一个连接的
: 正常的话，设置了对应的keylog，TLS的包是能自动解开的，至少我用的4.0的wireshark是可以的
: keylog里面的内容应该是这样一些东西：
: ...................
--
修改:z16166 FROM 114.241.227.*
FROM 114.241.227.*
3楼|milksea|2022-11-25 23:16:32|只看此ID
可以记录多次的
【在 z16166 的大作中提到: 】
: key log里难道只能有单次tls连接的信息？感觉wireshark应该去keylog文件里挨个尝试才对。
:
: 因为如果一直在用chrome的话，好像一直在追加这个文件。
: ...................
--
FROM 220.249.162.*
4楼|wallyz|2022-11-26 08:46:14|只看此ID
我试了试，keylog里面确实可以包含几次的记录，比如我把当前连接的keylog内容复制放在另一个文件里另一组的keylog后面，把keylog文件指向复制后的文件，wireshark还是能解得开

【在 z16166 的大作中提到: 】
: key log里难道只能有单次tls连接的信息？感觉wireshark应该去keylog文件里挨个尝试才对。
: 因为如果一直在用chrome的话，好像一直在追加这个文件。
: 我试试单次连接的。不太好搞的样子，因为访问一个页面，可能会有多次的请求，不知道是不是keep-connection的。
: ...................
--
FROM 123.168.94.*
5楼|z16166|2022-11-27 12:48:53|只看此ID
谢谢。我再试试

【在 wallyz 的大作中提到: 】
: 我试了试，keylog里面确实可以包含几次的记录，比如我把当前连接的keylog内容复制放在另一个文件里另一组的keylog后面，把keylog文件指向复制后的文件，wireshark还是能解得开
:
--
FROM 114.241.227.*