Wireshark抓取HTTPS明文并提取其资源内容的配置和操作流程

原创 已于 2025-06-05 08:50:51 修改 · 1.4k 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #wireshark #https #http

于 2025-06-04 17:15:48 首次发布

1. Wireshark抓取HTTPS明文报文的配置与操作流程

原理:通过获取HTTPS会话的TLS预主密钥,Wireshark可解密流量。需配置浏览器/系统导出密钥日志文件。

步骤:

  1. 设置环境变量(导出密钥日志),二选一

    • Windows (CMD/PowerShell)
      set SSLKEYLOGFILE=D:\Program\WiresharkPortable64\sslkey.log
    • Windows (图形界面操作)
      配置环境变量

  2. 配置浏览器使用该环境变量

    • Firefox:启动时自动读取环境变量。
    • Chrome/Edge:需从配置了环境变量的终端启动:
      # Linux/macOS
google-chrome
# Windows(在已设置环境变量的CMD中启动)
start chrome.exe
      如果通过图形界面设置的环境变量,重启Chrome浏览器即可。
      检查文件D:\Program\WiresharkPortable64\sslkey.log中已经存储了TLS秘钥信息。
      sslkey文件中报错的秘钥信息

  3. 配置Wireshark解析密钥

    • 打开Wireshark → Edit → Preferences → Protocols → TLS
      • “(Pre)-Master-Secret log filename” 中填入sslkey.log的完整路径。
        (Pre)-Master-Secret log filename设置

  4. 抓包与验证

    • 开始抓包 → 访问HTTPS网站(如https://www.baidu.com)。
    • 若配置成功,HTTPS流量(如TLSv1.2/1.3)将被自动解密,显示为HTTP协议。
    • 关键检查
      • 数据包详情中协议是否为HTTP而非TLS
      • 右键数据包 → Follow → HTTP Stream 可看到明文请求/响应。

2. 提取Wireshark数据包中的PNG资源的方法

方法一:使用Wireshark内置功能(推荐)

适用场景:完整传输的PNG、JPEG等文件(通过HTTP等明文协议传输)。
操作流程

  1. 过滤HTTP流量:http.content_type contains "image/png"
  2. 定位携带文件的响应包(HTTP 200 OK)。
  3. 右键该数据包 → Follow → HTTP Stream
  4. 在弹出窗口中:
    • 查看右侧**“Show and save data as”** → 选择 “Raw”
    • 点击 “Save as…” → 保存为.png文件。
方法二:手动导出TCP流重组文件

适用场景:非HTTP协议传输的图片(如WebSocket、自定义TCP)。
操作流程

  1. 定位包含图片数据的TCP包(可通过tcp.payload contains "\x89PNG"过滤PNG头)。
  2. 右键该包 → Follow → TCP Stream
  3. 设置显示格式为 “Raw” → 点击 “Save as…” → 保存为.bin
  4. 重命名文件后缀为.png
方法三:VSCode十六进制编辑(原始数据包提取)

适用场景:需精确提取碎片化传输的图片数据。
操作流程

  1. 在Wireshark中找到包含图片数据的应用层数据包(如HTTP包)。
  2. 展开数据包详情 → 选中应用层载荷(如Media Type: image/png)。
  3. 右键 → Export Packet Bytes → 保存为raw.bin
  4. VSCode安装十六进制编辑器插件(如Hex Editor)。
  5. 打开raw.bin → 检查文件头/尾:
    • PNG头89 50 4E 47 0D 0A 1A 0A
    • PNG尾00 00 00 00 49 45 4E 44 AE 42 60 82
  6. 删除多余字节(如HTTP头部),仅保留从89PNGIEND的数据。
  7. 保存为.png文件。

注意事项

  • HTTPS解密前提
    • 必须捕获到完整的TLS握手过程(ClientHello, ServerHello等)。
    • 浏览器需全程使用同一sslkey.log(重启浏览器需重新抓包)。
  • 资源提取技巧

    • 使用Wireshark的 “Export Objects → HTTP” 可批量提取所有传输的文件(包括图片)。

    • 到处资源文件

    • 碎片化传输的图片需手动拼接TCP流。

    • 加密流量(如HTTPS未解密)无法直接提取资源。

提示:对非PNG文件(如JPEG),替换文件头尾标识:

  • JPEG头:FF D8 FF,尾:FF D9
  • 方法二/三同样适用。
xingrun
关注
[网络安全自学篇] 十二.Wireshark安装入门及抓取网站用户名密码(一)
杨秀璋的专栏
09-20 1万+
这是作者的系列网络安全自学教程,主要是关于网安工具实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了虚拟机VMware+Kali安装入门及Sqlmap基本用法,这篇文章将分享Wireshark安装入门,讲解一个抓取网站用户名密码的案例。 Wireshark作为网络分析的最佳利器之一,非常推荐网络安全初学者学习。作者作为网络安全的小白,分享一些自学教程供大家学习,后续也将深入学习网络安全系统安全相关知识分享相关实验。希望对初学者有帮助,大神请飘过,谢谢各位看官!
wireshark抓取网络聊天数据包
YouthBlood9的博客
11-19 4475
练习wireshark抓取网络数据包。在两台及两台以上的电脑(已知IPv4地址)上运行 “疯狂聊天室”程序,通过wireshark抓包: 1)分析此程序网络连接采用的是哪种协议(TCP、UDP)什么端口号? 2)试着在抓取包中找到窃取到的聊天信息 (英文字符汉字可能经过了某种编码转换,数据包中不是明文) 3)如果是网络连接采取的是TCP,分析其建立连接时的3次握手,断开连接时的4次握手;如果是UDP,解释该程序为何能够在多台电脑之间(只有是同一个聊天室编号)同时传输聊天数据? ...
Wireshark教程:解密HTTPS流量
nuan444979的博客
09-29 1万+
Wireshark教程:如何解密HTTPS流量
通过Wireshark捕捉访问网页的全过程
Qiang的博客
02-15 2万+
通过Wireshark捕捉访问网页的全过程 整个过程可以概括为以下几个部分: 1)域名解析成IP地址 2)与目的主机进行TCP连接(三次握手) 3)发送与收取数据(浏览器与目的主机开始HTTP访问过程) 4)与目的主机断开TCP连接(四次挥手) 1. 打开Wireshark开始捕捉 2. 访问网页 打开一个无痕浏览器,访问网站www.4399.com 访问完成后,停止抓包 3. DNS解析域名过程 DNS域名解析时用的是UDP协议。整个域名解析的过程如下: 1)浏览器向本机DNS模块发
Wireshark解密HTTPS流量全攻略
最新发布
qq_51627527的博客
06-24 481
编辑->首选项->Protocols->TLS,设置sslkey.log日志文件路径。
通过wireshark抓取视频流信息
liguilicsdn的博客
04-06 2万+
平常在测试客户端与服务端交互时,因为一般都是为httphttps协议,所以平常都会用Charles工具进行抓包分析,使用下来很方便,确实是一个轻量级的抓包工具。 但是抓取的协议比较固定,想抓取一些其它信息的时候就无法再用这个工具了。例如说视频流信息,以及该视频的播放指标等,介于这样的需求,可以采用网上也比较流程的工具-- wireshark 因为以前测试过一段时间的视频相关的指标,简
Wiresharkhttps 请求抓包展示为明文
༺ bestcxx的专栏 ༻
07-10 1万+
我们监听 https 需要连接外网,我本地通过 WIFI 连接,故选择 Wi-Fi:en0。可以在具体某一条上,右键->Follow ,选择 HTTP 或者 TLS 都是可以的。作用是,Chrome 浏览器会把 https 请求中的秘钥保存到指定的文件,下一步。比如我们访问 https://www.baidu.com ,然后随便搜什么。如果没有本文的设置,左下角这一块内容是没有的,只会有一个密文信息。如果是想监听本地,就选择 Loopback:lo0。此时捕获的包已经是明文,可以通过域名进行过滤。
使用wireshark抓取https明文
ai_admin的博客
06-09 4186
2. 关于`SSLKEYLOGFILE`环境变量的补充,这是一个通用的环境变量,大多数网络库的实现都使用到了这一环境变量进行ssl调试。1. 新建环境变量,name为`SSLKEYLOGFILE`,value为指定的某一调试文件路径,如`D:\sslkey.log`3. 因为使用的是环境变量,以上方法跨平台通用(已经测试linux(包括国产的信创系统)/mac/windows)。1. 关于安全的问题,需要设置环境变量且重启进程,因此除非攻击者已经攻陷了终端,一般情况下都是有保障的。
使用 wireshark 抓包,httpshttp2
猛犸象
03-13 1万+
首先下载安装 https://www.wireshark.org/download.html wireshark 的工作过程为: 1、设置要捕获哪个网卡上的流量 捕获 --> 选项 首先你得知道当前机器的IP,然后就很容易找到是哪个网卡了。 2、设置要捕获哪些内容 捕获 --> 捕获过滤器 这里我要捕获一个http请求,它是HTTP的80端口。 设置好这两步它就会开始捕获数据了。 3、设置显示过滤器 设置好捕获过滤器之后,捕获的内容可能依然很多,这个时候就需要设置一下要显示哪些内容了,也就是
Wireshark抓取访问网站全过程
baynk的博客
08-25 4万+
给同学参考使用 0x01 安装打开wireshark 双击安装包,所有的安装下一步即可。 打开安装包后选择所使用的网卡,找不到网卡的应该是网卡名有改变,仔细查看。 双击后,进入抓包模式。 0x02 访问网站 打开浏览器,访问目标网站,www.4399.com。 待访问完成后,关闭抓包。 0x03 分析过程 先查DNS,在显示过滤器中输入DNS,回车。 报文比较多,使用ctrl+F进行搜索,...
wireshark 抓取 https
qq_17328759的博客
02-11 3万+
背景介绍: 首先,https双向加密的,如果需要解密数据,除非知道 客户端/服务器 任何一方私钥!否则无法解密,常用手段: 基于中间人攻击抓包。使用fiddler 或 charles ,实现的是中间人代理,将客户端私钥改为 fiddler 或 charles 的私钥,每次通信使用中间代理人的私钥加密,服务器就可以通过公钥解密。 wireshark 是基于网络层的抓包工具,通过捕获通信双方的TCP/IP包实现内容提取。对于应用层的数据,如果应用层协议是公开的,就可以直接显示数据。处理HTTPS 协议时,因为不
WireSharkHttps数据流程分析
weixin_33670429的博客
06-14 9472
由于工作上的需要,要使用WireShark来抓包;第一次使用WireShark,有点慌,只能慢慢摸索了.. 研究了一个下午,终于有点门道了,mark一下。 WireShark使用步骤: 1.打开WireShark,然后双击“以太网”,我这边是使用“以太网”捕获数据 2.打开谷歌浏览器,进入百度,然后随便搜索什么,以为百度是https请求 3.选择过滤,我的表达式:ssl &am...
rt-thread学习之路第八十五章——wireshark抓取tls数据
weixin_43554326的博客
12-14 1068
在没有抓包路由器的情况下,使用方案A, 电脑创建 wifi 热点,设备端连接电脑热点,发起 https 请求,服务器接收到请求,向设备端发出响应,设备端根据响应的内容,计算出密钥, 将设备端随机数密钥通过 udp 发送到 pc,保存到 sslkey.log 文件wireshark 根据设备端随机数密钥即可将 tls 数据包解密。需要注意的是,设备使用上述方法解密 https 的数据包,加密算法目前只能是 RSA,所以还需要强制客户端发送的加密方式(cipher suites)只能是 RSA。
WireShark抓包文件.rar
05-16
1、AMR声码器RTP网络包 2、NVOC声码器RTP网络包 3、H264格式RTP网络包 4、SIP协议RTP网络包
wireshark抓取疯狂聊天数据包】
chenyu128的博客
12-26 1846
wireshark抓取疯狂聊天数据包
Wireshark抓取的数据包文件提取
热门推荐
xiaopan233的博客
05-02 5万+
(第一种方法 直接使用wireshark自带的导出) 分离图片文件wireshark在指定的数据流中提取文件很简单。先选中要提取文件的数据包。wrieshark都会标明文件的类型。所以我们也就能够区分出这是一个什么类型的文件。 选中图片的数据一大行 右键,导出数据包 给导出的文件起个名字。然后保存即可。 成功从wrieshark中分离出了图片 分离...
Wireshark明文抓取
banliyaoguai的博客
05-06 843
但需要注意的是,这个对称密钥是临时协商出来的,每次访问时都可能改变,因此,如果仅参与传输过程而不参与到客户端或服务器端,是无法获取当时的对称密钥的。当启用了SSLKEYLOGFILE配置,系统会将所有SSL/TLS会话中使用的密钥记录到指定的文件中。例如,在谷歌浏览器中,HTTPS协议中的对称密钥会保存在SSLKEYLOGFILE中,这是一个Windows环境变量,其值为自定义的一个文本文件。2.1点击编辑,再点击编辑里的首选项,选择其中的TLS,将下面框中的路径填写为刚刚的变量路径。
用python编写脚本从wireshark导出的数据文件提取数据
asmc51的专栏
03-04 2万+
上篇文章搭建了一个UDP多播程序的基础,所谓基础,就是看着它,我可以写简单的多播程序了,可以在这个基础上面开始工作了。  会多播了,多播的内容从哪里来,播出什么内容呢?呵呵,有个设备,没有通讯协议,用wireshark抓包,分析协议,编程实现之,这就是此次多播的任务。 启动wireshark抓取数据包,导出为文本文件,三五十兆的文件,ultraedit搜索,观察,眼睛都看直了,有
访问网页全过程,用wireshark抓包分析
likunkun__的博客
08-08 2万+
wireshark抓包查看访问网站过程 打开wireshark,打开一个无痕浏览器,输入网址,到网页呈现这一过程,网络数据包传递的消息都会被放在wireshark里。针对这些包,我们可以逐一分析,摸清网络访问的全过程。 首先是通过DNS获取网站的ip地址: 在抓到的包里面逐一排查,会请求网站的第一次出现的数据包是DNS包。如图82号包(访问百度为例)。 选择82号包后,会出现下面的内容,...
WireShark抓包https
03-12
### 使用 Wireshark 抓取 HTTPS 数据包 HTTPS 数据包由于采用了 SSL/TLS 加密,在默认情况下无法直接查看具体内容。为了能够解析这些加密的数据包,需要让浏览器记录 TLS 握手过程中的预主密钥(pre-master secret),将这个信息提供给 Wireshark 进行解密。 #### 设置环境变量 首先,需设置一个名为 `SSLKEYLOGFILE` 的环境变量[^4]。此变量指向一个日志文件的位置,用于保存由支持的应用程序(如 Chrome 浏览器)导出的 pre-master 密钥材料。具体操作是在系统的环境变量中新增一项,名称设为 `SSLKEYLOGFILE`,而值则应填写所选的日志文件全路径,比如 `D:\sslkey.log`。 #### 启动浏览器与验证 完成上述配置之后,关闭重新启动 Chrome 浏览器以使新的环境变量生效。此时,当访问 HTTPS 网站时,Chrome 就会自动向指定的日志文件写入必要的密钥资料。可以通过检查目标目录确认是否成功生成了预期的日志文件;如果未找到,则可能需要重启计算机来确保更改被正确加载。 #### 配置 Wireshark 接下来,在 Wireshark 中也需要做一些相应的调整以便读取之前提到的日志文件。进入菜单栏的选择【编辑】> 【首选项】> 【Protocols】> 【TLS】,在这里定位到选项 “(Pre)-Master-Secret log filename”,将其设定为我们先前定义的那个日志文件地址。 #### 开始抓包 现在可以准备开始捕捉流量了。建议在此之前先开启 Wireshark 设置合适的过滤条件(例如仅监听 TCP 端口 443),然后再去刷新网页或者执行其他涉及 HTTPS 请求的操作。如此一来,Wireshark 才能接收到完整的握手消息以及后续传输的内容借助预先获得的秘密参数对其进行解码展示[^5]。 ```bash tcp.port == 443 ``` 通过以上步骤,便可以在 Wireshark 中观察到原本经过加密保护的 HTTP(S) 应用层负载内容了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值