使用 Wireshark 擷取 HTTP 密碼

文章目錄

背景

多年前念書時, 有用過一些 sniffer 來聽網路封包, 用來看 BBS 的密碼. 現在試試看用 Wireshark 來抓 HTTP/HTTPS 的密碼. 因為要測試 http, 而現在很少網站是 http 了, 因此 http 的部分我用 XAMPP 來跑一個簡單的 web server.

Capture HTTP 密碼

  1. 因為我的 XAMPP 跑在 localhost, 所以網路要選擇 loopback

  2. 切換到 Chrome, 登入進 phyMyAdmin.

  3. 回 wireshark 看結果

    1. 切回 Wireshark
    2. 按下 toolbar 的第二個紅色按鈕 Stop capturing packets, 他就會停止 capture
    3. 因為我們只看 http, 所以要在 filter 欄位輸入 http
    4. 就可以看到剛剛輸入的帳號密碼了
  4. 這個是有被 Base64 編碼過的, 不過 Wireshark 很貼心的幫忙 decode 好了

Capture HTTPS 密碼

理論上 https 是加密的, 但查了一下, 竟然有方法可以把加解密的 key 弄出來. 下面文章提供兩種方法, 第一篇的方法是設定環境變數 SSLKEYLOGFILE, 他就會把 key 存到檔案去. 第二篇的方法是有人寫了個小工具把 key 轉出來

  1. https://medium.com/blacksecurity/8c15948f38fd
  2. https://unit42.paloaltonetworks.com/wireshark-tutorial-decrypting-https-traffic/

key 轉出來以後, 後面就直接用 Wireshark 把他 import 進去, 就可以直接看光光了.

Posts in this Series