由HTTPS抓包引发的一系列思考（HTTPS解密）

前言

在渗透测试过程中&＃xff0c;必不可少的操作就是使用BurpSuite、Fildder等抓包工具对应用程序的数据包进行拦截、观察和篡改。那么问题来了——对于使用HTTPS协议的站点&＃xff0c;在BurpSuite中拦截到的数据包为何也是“明文传输”&＃xff1f;如下图所示。

从大神那里获得解答&＃xff1a;

&＃xff08;1&＃xff09; BurpSuite能抓到HTTPS协议的“明文数据”是因为BurpSuite在本地浏览器安装了自己的证书&＃xff0c;作为中间人的它分别建立起了“客户端->代理服务器”、“代理服务器->服务端”两段HTTPS通道&＃xff0c;BurpSuite获得Client消息后先解密后再重新加密&＃xff0c;然后代替客户端发给服务端&＃xff0c;这个过程中BurpSuite自然能获得明文。

&＃xff08;2&＃xff09; 但是如果使用WireShare来单纯监听、嗅探HTTPS协议的数据包的话&＃xff0c;我们就会看到TCP携带的Data都是密文&＃xff0c;是无法拿到明文数据的。

WireShark抓包

接下来当然是使用WireShare监听数据并观察分析下&＃xff0c;先简单说下WireShare的基本使用。

首先开启WireShark并配置受监听的网卡&＃xff1a;

选择正在使用的网卡&＃xff0c;双击WLAN开始监听&＃xff1a;

电脑中开启浏览器或其他应用的时候都会有流量产生&＃xff0c;有流量产生就会被WireShark捕捉到。上图为刚刚开启WireShark后的捕捉状态&＃xff0c;会抓到大量各种各样的流量&＃xff0c;稍后我们会进行过滤操作。

HTTP站点

使用合天网安实验室的登陆页面作为观察对象。

在CMD中Ping域名&＃xff0c;获得站点IP地址58.20.54.226&＃xff1a;

在WireShark中设置过滤规则“ip.dst&＃61;&＃61;58.20.54.226”&＃xff0c;发现登录请求传输的账号密码信息&＃xff1a;

也可以选择资源为POST /sessions HTTP/1.1的流量然后鼠标右键选择追踪流->TCP流&＃xff0c;可以看到用户名和密码等敏感信息可以被嗅探&＃xff1a;

查看前端代码&＃xff0c;可发现该HTTP站点确实对账户密码做了前端加密后再进行传输&＃xff1a;

HTTPS站点

看完上面HTTP站点的数据在WireShark中“裸奔”&＃xff0c;接下来看看HTTPS站点是不是也如此。

选用站点“墨者学院”作为观察对象&＃xff1a;

在WireShark中设置过滤规则“ip.dst&＃61;&＃61;113.200.16.234”&＃xff0c;可发现HTTP站点的流量均给出了具体的请求资源地址&＃xff08;如上面的POST /sessions HTTP/1.1&＃xff09;&＃xff0c;而HTTPS站点传输的时候只提示为“Application Data”&＃xff1a;

继续选择任意协议为TLSv1的流量后右击选择追踪流->TCP流&＃xff0c;发现数据均经过加密&＃xff0c;根本看不懂&＃xff1a;

解密HTTPS数据

HTTPS协议使用了对称加密&＃xff0c;客户端拥有并存储了对称加密的会话密钥&＃xff0c;浏览器在接收到服务端发送回来的密文数据之后&＃xff0c;会使用存储在本地的秘钥对数据进行解密。那么我们通过WireShark监听到的HTTPS站点的密文能否依靠此密钥进行自动解密&＃xff1f;答案是——可以。

接下来我们来实际操作并验证下&＃xff1a;

1、以windows系统&＃43;Chrome浏览器为例&＃xff0c;首先要导出浏览器存储的密钥&＃xff0c;通过计算机属性——高级系统设置——环境变量&＃xff0c;新建一个变量名“SSLKEYLOGFILE”的变量&＃xff0c;变量值是导出的密钥具体文件地址。2、设置后可以通过重启Chrome浏览器打开任意一个HTTPS网址&＃xff0c;此时查看变量值对应路径&＃xff0c;密钥成功导出到本地啦&＃xff0c;已经生成sslkey.log文件&＃xff1a;

3、现在可以将密钥导入到Wireshark了&＃xff0c;具体路径如下&＃xff1a;菜单栏—>编辑—>首选项—>Protocols—>TLS/SSL&＃xff08;选择SSL还是TLS请根据实际情况&＃xff09;&＃xff1a;

4、配置完成&＃xff0c;来看下最终的实际效果&＃xff08;此处同样使用上文中“墨者学院”HTTPS站点作为测试对象&＃xff0c;其初始的加密数据包状态可翻看前文&＃xff09;&＃xff1a;

5、对比一下文章开头BurpSuite拦截到的数据包&＃xff1a;

【总结】至此&＃xff0c;我们可以得知BurpSuite拦截HTTPS站点可获得明文数据包&＃xff0c;并非因为HTTPS站点跟HTTP站点一样进行“裸奔”&＃xff0c;而是BurpSuite代理服务器作为中间人&＃xff0c;对HTTPS站点的数据包进行了解密。

监听局域网流量

既然HTTP协议和HTTPS协议的明文数据我们都有办法通过WireShark进行获取&＃xff0c;那么问题来了——WireShark能否轻易获得局域网内部其他主机的数据包呢&＃xff1f;(如果可以………我那存有两毛钱巨款的账户的信息安全该咋办&＃xff1f;&＃xff09;

问题的答案是——Windows 10系统可以在一块真实无线网卡基础上再虚拟出一块无线网卡&＃xff0c;支持网络共享&＃xff0c;让电脑变身WIFI热点&＃xff0c;我们把接网卡共享后设置其IP为192.168.XXX.XXX&＃xff0c;让这个网卡做网关&＃xff0c;别的电脑连上WIFI后都通过这个网卡上网&＃xff0c;然后你就可以轻易的在这个网卡上捕获别的电脑的数据包。

什么&＃xff1f;你不信&＃xff1f;那接下来进行实操来验证下吧。

1、要通过Win10系统自带的移动热点进行WIFI共享&＃xff0c;首先确保WLAN网卡开启&＃xff0c;WLAN网卡连接到其它无线WLAN网络上&＃xff1a;

2、移动热点即变为可开启状态&＃xff0c;并点击编辑按钮进行SSID无线名称及连接密码进行设置即可:

3、在网络连接设置页面上找到刚刚开启的虚拟AP网卡信息&＃xff1a;

4、在CMD窗口中使用ipconfig命令查询当前主机的IP&＃xff0c;结果为&＃xff1a;

5、设置虚拟网卡的IP地址、子网掩码、DNS服务器地址如下&＃xff0c;点击确认&＃xff1a;

6、选择WLAN 右键属性—>共享设置&＃xff0c;选择共享并选择刚刚开启的无线AP热点&＃xff0c;点击确认&＃xff1a;

7、通过手机或者其他支持WIFI上网的设备搜索该信号即可进行连接并上网&＃xff0c;此处选择手机&＃xff1a;

8、查看手机连上电脑热点后分配到的IP地址&＃xff1a;

9、在电脑打开WireShark&＃xff0c;监听刚才开启的虚拟无线网卡&＃xff1a;

10、可以看到&＃xff0c;成功监听到手机的数据包流量&＃xff1a;

11、进一步验证一下&＃xff01;&＃xff01;手机浏览器打开“合天网安实验室”站点的登录页面&＃xff0c;并进行登录&＃xff1a;

12、在WireShark输入过滤规则“ip.src&＃61;&＃61;192.168.137.251 and ip.dst&＃61;&＃61;58.20.54.226”并查看登录请求包&＃xff0c;成功监听到明文账号和密码信息&＃xff08;已做前端加密&＃xff09;&＃xff1a;

至此&＃xff0c;我们可以看到&＃xff0c;手机平时在公众场合连接未知的WIFI后进行系统登录、转账业务等敏感操作将是多么危险&＃xff01;&＃xff01;&＃xff01;&＃xff01;一不小心账号和密码就被监听了&＃xff01;