burp awesome tls 欺骗浏览器TLS指纹 绕过waf指纹识别

burp awesome tls 欺骗浏览器TLS指纹 绕过waf指纹识别

如果你使用burp无法抓包,没有返回的数据,那么请试一下这一款插件.

插件介绍

此扩展劫持 Burp 的 HTTP 和 TLS 堆栈,允许您欺骗任何浏览器 的TLS 指纹 ( JA3 )。它增强了 Burp Suite 的功能,同时降低了 CloudFlare、PerimeterX、Akamai、DataDome 等各种 WAF 进行指纹识别的可能性。

它无需借助黑客、反射或分叉的 Burp Suite 社区代码即可实现此目的。此存储库中的所有代码仅利用 Burp 的官方 Extender API。

burp awesome tls 欺骗浏览器TLS指纹 绕过waf指纹识别

机器人ip检测

这只是一个例子。如果您使用其他专用机器人检测站点进行测试,请告诉我您的结果!

CloudFlare 机器人得分

burp awesome tls 欺骗浏览器TLS指纹 绕过waf指纹识别
burp awesome tls 欺骗浏览器TLS指纹 绕过waf指纹识别

工作原理

不幸的是,Burp 的 Extender API 对于像这样的更高级的用例来说非常有限,所以我不得不尝试使用它来完成这项工作。

一旦请求进来,扩展程序就会拦截它并将其转发到在后台启动的本地 HTTPS 服务器(加载扩展程序后)。该服务器的工作方式类似于代理;它将请求转发到目的地,同时保留原始标头顺序并应用可自定义的 TLS 配置。然后,本地服务器将响应转发回 Burp。响应标头顺序也被保留。

配置设置和其他必要信息(例如目标服务器地址和协议)通过魔术标头按请求发送到本地服务器。当然,在将请求转发到目标服务器之前,会从请求中删除这个神奇的标头。

burp awesome tls 欺骗浏览器TLS指纹 绕过waf指纹识别

ℹ️ 另一种选择是编写上游代理服务器并将 burp 连接到它,但我个人需要一个扩展来实现定制和可移植性。

安装方法

  1. 从releases下载适合您的操作系统的jar文件。您还可以下载一个 fat jar,它适用于 Awesome TLS 支持的所有平台。这意味着它也是便携式的,可以从 USB 加载以进行跨平台访问。
  2. 打开 burp(专业版或社区版),转到“扩展器”>“扩展”,然后单击“添加”。然后,选择Java扩展类型并浏览到刚刚下载的 jar 文件。单击底部的“下一步”,它应该加载扩展而不会出现任何错误。
  3. 检查 Burp 中新的“Awesome TLS”选项卡的配置设置并开始黑客攻击!

配置

这个扩展是“即插即用”的,应该是不言而喻的。您可以将鼠标悬停在“Awesome TLS”选项卡中的每个字段上,以获取有关每个字段的更多信息。

要加载自定义 Client Hello,您可以在 Wireshark 中捕获它,将客户端 hello 记录复制为十六进制流并将其粘贴到“Hex Client Hello”字段中

burp awesome tls 欺骗浏览器TLS指纹 绕过waf指纹识别

手动构建说明

此扩展是使用 JetBrains IntelliJ(和 GoLand)IDE 开发的。下面的构建说明假设您使用相同的工具来构建。请参阅目标编程语言版本的工作流程。

  1. 编译go 包内的./src-go/。运行cd ./src-go/server && go build -o ../../src/main/resources/{OS}-{ARCH}/server.{EXT} -buildmode=c-shared ./cmd/main.go,替换{OS}-{ARCH}为您的操作系统和 CPU 架构以及{EXT}您平台的动态 C 库的首选扩展。例如:linux-x86-64/server.so. 有关支持的平台的更多信息,请参阅JNA 文档。
  2. 通过将 GUI 表单编译SettingsTab.form为 Java 代码Build > Build project
  3. 使用 Gradle 构建 jar gradle buildJar:.

您现在应该拥有一个可在操作系统上与 Burp 配合使用的jar 文件(通常位于./build/libs)。

开发人员

特别感谢以下存储库的维护者:

以及以下网站的创建者:

可能存在的问题

高版本java安装报错.
解决办法:使用低版本java或低版本burp.

下载地址

GitHub:

项目地址

GitHub:
https://github.com/sleeyax/burp-awesome-tls

转载请注明出处及链接

Leave a Reply

您的电子邮箱地址不会被公开。 必填项已用*标注