我创建了一个无需手动安装根证书即可捕获用它启动的进程的 HTTPS 流量的 Linux 工具。
原理是通过创建一个隔离的命名文件空间,挂载 /etc/resolv.conf 相关的 DNS 配置文件,使用一个自定义的 DNS 服务器来解析域名,让 HTTPS 请求转发到这个工具内置的 443 端口的服务上去。 为了通过启动的进程的证书验证,这个工具在首次运行时会自动生成一个自签名证书,并将其挂载到隔离空间的系统的受信任证书列表中,整个过程只影响进程的命名空间,对系统无污染。后面就是传统的 MITM 流程了。
为了方便让 Wireshark 不安装证书密钥也能实时预览 HTTPS 流量,还可以通过这个工具开启一个 HTTP 镜像,这样 Wireshark 只要捕获到这个 HTTP 镜像的流量就能实时预览 HTTPS 流量。
另外,代码基本都是通过 Claude Code 开发的,期间也用 gemini cli debug 了一下,我的主要角色是提供想法、测试、反馈、修正。
 |
1
wncoic Jul 27, 2025
怎么域名注册时间是 2013 年的?买的别人老域名?
|
 |
3
processzzp Jul 27, 2025 via iPhone
|
 |
4
kekxv Jul 28, 2025  1
|
 |
5
selca Jul 28, 2025
看上去还挺不错的,star 了
|
 |
6
swananan Jul 28, 2025
https://github.com/gojue/ecapture
关于 Linux 下 ssl 流量解密,我觉得 ecapture 可能更好一些,ebpf 通过 uprobe 直接把各个 ssl 库的核心加解密函数给安排上,然后直接把流量给拉出来,还能直接生成 pcap 给 Wireshark 解析 (不确定最近两年有什么新的 feature ) 我看了 demo ,op 你的终端命令 option 提示是什么工具,看起来蛮好用的 |
 |
8
gleport OP 1
@swananan ecapture 这个应用场景更广泛吧,实现起来也要复杂很多。要是仅仅想捕获某个应用的 https 的话,使用 httpseal -q 模式并制定输出文件就可以用了,相对来说使用门槛要低。在应用层做转发还有个优势就是后期想扩展功能做 http 报文覆写会很方便实现。
我用的是 Aloxaf/fzf-tab 这个补全工具。对于 httpseal 本身仓库提供了 zsh 自动补全的脚本,需要安装后才能自动补全。 |
 |
9
timzaak Jul 28, 2025
我也搞了个 https://github.com/timzaak/log-http-proxy ,不过是在 web 页面查看的。
|
|
10
kekxv Jul 28, 2025
@ajan 开源了,准确来说是三个:
这个是通过加载 har ,然后模拟返回抓包内容,可以用在接口调用测试: https://github.com/kekxv/service-for-har 这两个就是网页插件了 https://github.com/kekxv/har-collector-extension https://github.com/kekxv/service-for-har-extension |
Select Language