参考来源：
https://zhuanlan.zhihu.com/p/36669377
https://blog.csdn.net/u010726042/article/details/53408077

思路：

wireshark抓到的https流量包经过了ssl加密，那么我们如何才能查看解密的数据呢？Firefox和Chrome浏览器都支持用日记文件的方式记录下用来加密TLS数据包对称会话秘钥的，可以通过配置sslkeyfile的链接，将wireshark的中ssl解密指向该文件即可。环境变量中新建用户变量SSLKEYLOGFILE=/sslkey.log文件，之后再wireshark中ssl配置中制定该文件位置即可。

练习环境说明：

操作系统：win10
浏览器：谷歌浏览器{版本 123.0.6312.58（正式版本） （64 位)}
wireshark版本：Version 3.6.6 (v3.6.6-0-g7d96674e2a30)

步骤一：创建对称会话秘钥文件，新增环境变量

示例：在F盘创建文件夹名称为sslkeylogfile，内部存放ssk.log文件
https://img-blog.csdnimg.cn/direct/2be1a4a27a884b8badd5b659de53cca9.png" alt="在这里插入图片描述" />
对应路径：控制面板\所有控制面板项\系统\高级系统设置\环境变量，点击新建，输入变量名称为SSLKEYLOGFILE，变量值为刚才创建的sslkey.log文件，点击确定保存
https://img-blog.csdnimg.cn/direct/d456fc1c4b64428eadd1285a521576b8.png" alt="在这里插入图片描述" />

wiresharktls_15">步骤二：wireshark中指定tls协议应用的预加密秘钥文件位置

打开wireshark软件，在路径：编辑\首选项\Protocols中，找到TLS协议，指定{(Pre)-Master-Secret log filename}为步骤一中创建的文件，如下图示例所示
https://img-blog.csdnimg.cn/direct/2bf504e1f7bd482a8a325dc1d3a3ee59.png" alt="在这里插入图片描述" />

wireshark_18">步骤三：开启wireshark，抓取网卡数据

pass

httpswwwbaiducom_20">步骤四：打开谷歌浏览器，访问https://www.baidu.com

打开谷歌浏览器，按F12打开开发者选项界面，地址栏中输入baidu.com，点击网络，查看名称为www.baidu.com的标头部分，可以知道域名对应的网站ip，如下图，访问的百度远端ip地址为：153.3.238.110
https://img-blog.csdnimg.cn/direct/79e5a5608f1b4b588fd1855390731ab9.png" alt="在这里插入图片描述" />

wireshark_24">步骤五：返回wireshark界面，查看是否能看到解密数据，验证解密效果是否成功

由于之前抓取的是全网卡的流量，通过步骤四中知道的百度ip进行过滤，过滤条件为：ip.addr == 153.3.238.110 && ssl，解密成功效果如下图，可以看到底部有Decrypted TLS，对应序号796，显示获取首页信息的数据，解密预期效果实现。
https://img-blog.csdnimg.cn/direct/3781ef70cd434482b02dd3f0c7a7b19c.png" alt="在这里插入图片描述" />