我正在尝试读取来自应用程序的 https 请求,虽然我可以使用 wireshark 理解数据,但我无法让 tshark 按照我的要求输出数据。我注意到的一个问题是来自服务器的内容类型不正确,因此它将主体解析为数据文本行,尽管它是二进制数据。
到目前为止我已经尝试过:
sudo tshark -r /tmp/file.pcap -o tls.keylog_file:$SSLKEYLOGFILE -Y "tls and ip.src == xx.xx.xxx.xxx or ip.dst == xx.xx.xxx.xxx" -T json -2
我似乎无法让它将 http 响应输出为原始解密数据。它似乎只包含“data-text-lines”,但即使其中包含“[Truncated]”字段,所以我认为它不是很有用
在 wireshark 中,当我使用“tls”过滤器并转到请求时,单击“解密的 TLS”选项卡包含我需要的数据