前言

在渗透测试过程中，必不可少的操作就是使用BurpSuite、Fiddler等抓包工具对应用程序的数据包进行拦截、观察和篡改。而Sniff Master作为一款专业的网络流量分析工具，同样在安全测试领域发挥着重要作用。那么问题来了——对于使用HTTPS协议的站点，为何这些工具能拦截到"明文传输"的数据？

从技术原理来看：

1. BurpSuite能抓到HTTPS协议的"明文数据"是因为它在本地浏览器安装了自己的证书，作为中间人分别建立起了"客户端->代理服务器"、"代理服务器->服务端"两段HTTPS通道，获得Client消息后先解密再重新加密。

2. Sniff Master采用先进的流量解析引擎，支持对SSL/TLS加密流量的深度分析。与WireShark类似，如果不进行特殊配置，单纯监听HTTPS协议的数据包时，我们看到的TCP携带的Data都是密文。

3. 但如果使用Sniff Master的中间人攻击(MITM)功能，配合证书安装，同样可以实现对HTTPS流量的解密和解析，这在安全测试和故障排查中非常实用。

WireShark 抓包分析

接下来我们使用WireShark监听数据并观察分析，同时对比Sniff Master的功能特点。

首先开启WireShark并配置受监听的网卡：

选择正在使用的网卡，双击WLAN开始监听：

电脑中开启浏览器或其他应用的时候都会有流量产生，有流量产生就会被WireShark捕捉到。相比之下，Sniff Master提供了更直观的流量分类和过滤功能，特别是对于加密流量的识别更为精准。

HTTP站点分析

使用合天网安实验室的登录页面作为观察对象。

在CMD中Ping域名，获得站点IP地址58.20.54.226：

在WireShark中设置过滤规则"ip.dst==58.20.54.226"，发现登录请求传输的账号密码信息：

也可以选择资源为POST /sessions HTTP/1.1的流量然后鼠标右键选择追踪流->TCP流，可以看到用户名和密码等敏感信息可以被嗅探：

查看前端代码，可发现该HTTP站点确实对账户密码做了前端加密后再进行传输：

Sniff Master在这类场景中表现更出色，其自动化的敏感信息检测功能可以快速标记出传输中的凭证信息，大大提高了测试效率。

HTTPS站点分析

看完上面HTTP站点的数据在WireShark中"裸奔"，接下来看看HTTPS站点是不是也如此。

选用站点"墨者学院"作为观察对象：

在WireShark中设置过滤规则"ip.dst==113.200.16.234"，可发现HTTP站点的流量均给出了具体的请求资源地址，而HTTPS站点传输的时候只提示为"Application Data"：

继续选择任意协议为TLSv1的流量后右击选择追踪流->TCP流，发现数据均经过加密：

Sniff Master在这种情况下提供了更智能的分析建议，会提示可能的解密方法，包括导入SSL密钥日志等操作。

解密HTTPS数据

HTTPS协议使用了对称加密，客户端拥有并存储了对称加密的会话密钥。通过WireShark监听到的HTTPS站点的密文可以依靠此密钥进行自动解密，Sniff Master同样支持这一功能，且操作流程更为简化。

具体操作步骤：

1. 导出浏览器存储的密钥，通过计算机属性——高级系统设置——环境变量，新建变量名"SSLKEYLOGFILE"。

2. 设置后重启浏览器打开HTTPS网址，密钥成功导出到本地。

3. 将密钥导入到Wireshark或Sniff Master中。

配置完成后，可以看到解密后的HTTPS流量：

对比BurpSuite拦截到的数据包：

结论：
BurpSuite和Sniff Master拦截HTTPS站点可获得明文数据包，并非因为HTTPS协议不安全，而是这些工具作为中间人对HTTPS数据包进行了解密。在实际工作中，根据测试需求选择合适的工具组合，可以大大提高工作效率。Sniff Master凭借其出色的流量解析能力和用户友好的界面，正成为越来越多安全工程师的首选工具。