PHPor 的Blog

转载: http://blog.csdn.net/hulonglong/archive/2010/08/23/5831619.aspx

本文根据个人经验介绍如何用Wireshark（Ethereal的新名字）去查看捕捉到的SSL（包括HTTPS）里被加密的消息。

大家在使用Tomcat等服务器配置成HTTPS（基于TLS/SSL）后，调 试时往往需要用Wireshark去抓包，并希望查看其中的HTTP消息。但是HTTPS的通讯是加密的，所以默认情况下你只能看到HTTPS在建立连接 之初的交互证书和协商的几个消息而已，真正的业务数据（HTTP消息）是被加密的，你必须借助服务器密钥（私钥）才能查看。即使在HTTPS双向认证（服 务器验证客户端证书）的情况下，你也只需要服务器私钥就可以查看HTTPS消息里的加密内容。
注：如何配置HTTPS服务器可以参考《如何用Tomcat和Openssl构建HTTPS双向认证环境（HTTPS客户端认证）》。
 
1. 配置Wireshark
选 中Wireshark主菜单Edit->Preferences，将打开一个配置窗口；窗口左侧是一棵树（目录），你打开其中的 Protocols，将列出所有Wireshark支持的协议；在其中找到SSL并选中，右边窗口里将列出几个参数，其中“RSA keys list”即用于配置服务器私钥。该配置的格式为：
     <ip>,<port>,<protocol>,<key_file_name>
 
各字段的含义为：
     <ip>    —- 服务器IP地址（对于HTTPS即为WEB服务器）。
     <port>  —- SSL的端口（HTTPS的端口，如443，8443）。
     <protocol> —- 表示SSL里加密的是什么协议，对于HTTPS，这项应该填HTTP。
     <key_file_name> —- 服务器密钥文件，文件里的私钥必须是明文（没有密码保护的格式）。
例如： 192.168.1.1,8443,http,C:/myserverkey/serverkey.pem
 
若你想设置多组这样的配置，可以用分号隔开，如：
   192.168.1.1,8443,http,C:/myserverkey/clearkey.pem;10.10.1.2,443,http,C:/myserverkey/clearkey2.pem
 
2. 导出服务器密钥（私钥）的明文格式（即前面提到的<key_file_name>）
大家当初在配置HTTPS服务器，服务器私钥时，一般都会输入一个保护私钥的密码。那如何导出明文形式的服务器私钥呢，需要视情况而定：
 
（1）若你是像《如何用Tomcat和Openssl构建HTTPS双向认证环境（HTTPS客户端认证）》里所述的那样，用类似于如下命令生成服务器私钥的：
   openssl req -newkey rsa:1024 -keyout serverkey.pem -keyform PEM -out serverreq.pem \
            -outform PEM -subj "/O=ABCom/OU=servers/CN=servername"M
而且你的服务器私钥文件serverkey.pem还在，则可以这样导出服务器私钥明文文件：
   openssl rsa -in serverkey.pem > clearkey.pem
 
执行命令式需要输入私钥的保护密码就可以得到私钥明文文件clearkey.pem了。
 
（2）若你已把serverkey.pem丢了，但还有pkcs12格式的服务器证书库文件，该文件当初用类似于以下命令生成的：
   openssl pkcs12 -export -in servercert.pem -inkey serverkey.pem \
                        -out tomcat.p12 -name tomcat -CAfile "$HOME/testca/cacert.pem" \
                        -caname root -chain
则，你可以用下面命令把服务器私钥从tomcat.p12（pkcs12格式）文件里导出来：
   openssl pkcs12 -in tomcat.p12 -nocerts -nodes -out clearkey.pem
 
执行命令式需要输入pkcs12的保护密码。
然后编辑一下生成的clearkey.pem文件，把“—–BEGIN RSA PRIVATE KEY—–”之前的内容删掉就可以了。
 
（3） 若你的服务器私钥是用java的keytool命令生成的keystore文件，则要弄出来比较麻烦，建议服务器keystore最好用《如何用 Tomcat和Openssl构建HTTPS双向认证环境（HTTPS客户端认证）》里的openssl生成服务器公钥私钥和证书的方法，生成 pkcs12格式的keystore。

在QQ中，如果想跟某个用户聊天，该也难怪乎不是你的好友的话，大部分情况必须首先加其为好友。这是比较麻烦的。另外一种情况就是使用临时会话：
tencent://Message/?menu=yes&exe=&uin=10001
把uin后面的改成对方的QQ号

.net生成的public key的格式：
<modulus>
jY39vkCL8xCrUK9eepK2SQ447xiU/bZmnJi6G+4ripHzOJ65YTsxJ3sEOrXCyb0P
MBXQchQ2xpE8g7PyHe4zv07/Q7hbRFJ2CJAIyFj7OD5aejOiIptMzPsYNMx5Gkbs
</modulus>
<exponent>
AQAB
</exponent>

<?php
/** 
 * Zeal Extends of ZendFramework 
 * 
 * @category   Zeal 
 * @package    Zeal 
 * @subpackage Security 
 */  
  
/** 
 * RSA公钥格式转化 
 * 
 * @category   Zeal 
 * @package    Zeal 
 * @subpackage Security 
 */  
class Zeal_Security_RSAPublicKey  
{  
    /** 
     * ASN.1 type INTEGER class 
     */  
    const ASN_TYPE_INTEGER = 0x02;  
  
    /** 
     * ASN.1 type BIT STRING class 
     */  
    const ASN_TYPE_BITSTRING = 0x03;  
  
    /** 
     * ASN.1 type SEQUENCE class 
     */  
    const ASN_TYPE_SEQUENCE = 0x30;  
  
    /** 
     * The Identifier for RSA Keys 
     */  
    const RSA_KEY_IDENTIFIER = '300D06092A864886F70D0101010500';  
  
    /** 
     * Constructor  (disabled) 
     * 
     * @return void 
     */  
    private function __construct()  
    {  
    }  
  
    /** 
     * Transform an RSA Key in x.509 string format into a PEM encoding and 
     * return an PEM encoded string for openssl to handle 
     * 
     * @param string $certificate x.509 format cert string 
     * @return string The PEM encoded version of the key 
     */  
    static public function getPublicKeyFromX509($certificate)  
    {  
        $publicKeyString = "-----BEGIN CERTIFICATE-----n" .  
                           wordwrap($certificate, 64, "n", true) .  
                           "n-----END CERTIFICATE-----";  
  
        return $publicKeyString;  
    }  
  
    /** 
     * Transform an RSA Key in Modulus/Exponent format into a PEM encoding and 
     * return an PEM encoded string for openssl to handle 
     * 
     * @param string $modulus The RSA Modulus in binary format 
     * @param string $exponent The RSA exponent in binary format 
     * @return string The PEM encoded version of the key 
     */  
    static public function getPublicKeyFromModExp($modulus, $exponent)  
    {  
        $modulusInteger  = self::_encodeValue($modulus,   
                                               self::ASN_TYPE_INTEGER);  
        $exponentInteger = self::_encodeValue($exponent,   
                                               self::ASN_TYPE_INTEGER);  
        $modExpSequence  = self::_encodeValue($modulusInteger .   
                                              $exponentInteger,   
                                               self::ASN_TYPE_SEQUENCE);  
        $modExpBitString = self::_encodeValue($modExpSequence,   
                                               self::ASN_TYPE_BITSTRING);  
  
        $binRsaKeyIdentifier = pack( "H*", self::RSA_KEY_IDENTIFIER );  
  
        $publicKeySequence = self::_encodeValue($binRsaKeyIdentifier .   
                                                $modExpBitString,   
                                                 self::ASN_TYPE_SEQUENCE);  
  
        $publicKeyInfoBase64 = base64_encode( $publicKeySequence );  
  
        $publicKeyString = "-----BEGIN PUBLIC KEY-----n";  
        $publicKeyString .= wordwrap($publicKeyInfoBase64, 64, "n", true);  
        $publicKeyString .= "n-----END PUBLIC KEY-----n";  
  
        return $publicKeyString;  
    }  
  
    /** 
     * Encode a limited set of data types into ASN.1 encoding format 
     * which is used in X.509 certificates 
     * 
     * @param string $data The data to encode 
     * @param const $type The encoding format constant 
     * @return string The encoded value 
     * @throws Zend_InfoCard_Xml_Security_Exception 
     */  
    static protected function _encodeValue($data, $type)  
    {  
        // Null pad some data when we get it  
        // (integer values > 128 and bitstrings)  
        if( (($type == self::ASN_TYPE_INTEGER) && (ord($data) > 0x7f)) ||  
            ($type == self::ASN_TYPE_BITSTRING)) {  
                $data = "�$data";  
        }  
  
        $len = strlen($data);  
  
        // encode the value based on length of the string  
        switch(true) {  
            case ($len < 128):  
                return sprintf("%c%c%s", $type, $len, $data);  
            case ($len < 0x0100):  
                return sprintf("%c%c%c%s", $type, 0x81, $len, $data);  
            case ($len < 0x010000):  
                return sprintf("%c%c%c%c%s", $type, 0x82,   
                                              $len / 0x0100,   
                                              $len % 0x0100, $data);  
            default:  
                throw   
                  new Zeal_Security_RSAPublicKey_Exception("Could not encode value",1);  
        }  
  
        throw   
          new Zeal_Security_RSAPublicKey_Exception("Invalid code path",2);  
    }  
}  
  
class Zeal_Security_RSAPublicKey_Exception extends Exception  
{  
  
}

// example
 
$hCert = openssl_pkey_get_public(  
            Zeal_Security_RSAPublicKey::getPublicKeyFromModExp(  
                file_get_contents("/home/zeal/certs/public.key"),  
                "AQAB"  
            )  
        );  
$dataToCheck = "This is Data should be verified!";  
$signBinary = ".................................";  
$ok = openssl_verify(  
        $dataToCheck,   
        $signBinary,   
        $hCert,  
        OPENSSL_ALGO_SHA1  
);  
if ($ok == 1) {  
    echo "good";  
}   
elseif ($ok == 0) {  
    echo "bad";  
}   
else {  
    echo "error occured";  
}  
?>

• 飞速土豆是在本机起的一个服务，浏览器安装该插件后，遇到可以代理的请求时，就由本地服务进程来下载数据了
• 飞速土豆还有缓存的功能，就是如果浏览器里通过飞速土豆下载过某段视频，再用控制台走该代理下载该视频就很快了
• 飞速土豆限制wget下载，是通过限制agent实现的，用-U参数修改agent就可以搞定了

软件简介：
tcpdump是一款很强大、很有用的网络侦听软件，但是对于ssl加密的数据包就无能为力了；ssldump则是一款可以侦听ssl加密的数据包的软件。

下载地址：
wget "http://www.rtfm.com/ssldump/ssldump-0.9b3.tar.gz"

安装：

wireshark也可以这么干的。