Wireshark抓包解密chrome浏览器的HTTPS数据流，探测cookie字符串头部信息，ip.addr

小樱

Wireshark抓包解密chrome浏览器的HTTPS数据流，探测cookie字符串头部信息，ip.addr

如果是chrome浏览器的数据流 直接配置”SSLKEYLOGFILE“就可以解密了。

实现过程：
1.配置系统环境变量
变量名：SSLKEYLOGFILE
变量值：随意指定一个存储路径，以便chrome输出key.log







2.配置Wireshark
填入你在系统变量中指定的key.log存储路径，以便wireshark访问key.log中的key 从而解密https(ssl)



3.配置好以后要重启浏览器
设置tcp.port == 443只过滤https的数据包，要不太乱，或者ssl and ip.addr == 113.32.59.50也可以。



原理解析：
当你配置了”SSLKEYLOGFILE“这个环境变量，这意味着你告诉chrome 你想知道chrome每次https会话的key记录，chrome将会在每次https会话结束后 将会话数据解密的key记录到key.log文件中，Wireshark通过访问key.log文件使用里面的key就可以解密自己捕获到的chrome产生的https会话数据流。

如果使用mitmproxy软件抓包https，他们有个专用的环境变量为，使用此变量可用作Wireshark解析
MITMPROXY_SSLKEYLOGFILE

2023年6月8号帖子补充
如果说Wireshark无法抓包https，那只是你不会用，本贴中都详细列举出来了办法，直接拿公钥就能解，不会用不代表不具备https抓包功能
Wireshark的原理是直接用公钥还原出明文，https握手的时候需要交互公钥，然后Wireshark把这一块保存下来用于解密，这种抓包方式是无感知的，因为不需要中间人更换浏览器证书