悄悄绕过基于TLS指纹的机器人检测

1.摘要

TLS指纹是指在TLS握手过程中，通过分析客户端发送的特征生成的唯一标识。例如，支持的加密套件列表、TLS扩展、客户端Hello消息中的其他字段。不同的浏览器和客户端会有不同的TLS指纹，基于这些指纹可以区分合法用户和可能的机器人。要绕过TLS指纹检测，需要首先获取目标的合法TLS指纹。可以通过抓取合法用户的流量，分析其TLS握手消息来得到这些指纹。

bypass-bot-detection是一个开源的Burp Suite扩展, 可以改变密码并绕过基于TLS指纹的机器人检测。

开源地址:https://github.com/PortSwigger/bypass-bot-detection

2.扩展安装方法

1.从以下地址直接获取支持Burp Suite扩展的Jar包:

https://github.com/PortSwigger/bypass-bot-detection/releases , 如图:

2.该扩展在设置 -> 网络 -> TLS 处更改网络设置,并选择"使用自定义协议和密码"。

3.右键单击代理历史选项卡中的请求/响应项，导航到扩展->绕过机器人检测，然后选择其中一个菜单项。

4.如果服务器的响应改变, 即:字数和标题的数量是不同的, 扩展将记录消息并将注释添加到代理历史记录。

以下是使用扩展的过程:

https://github.com/PortSwigger/bypass-bot-detection/blob/main/gitimg/bypass-bot-detection.gif

3.构建指令

构建步骤如下:

• 确保已安装Java JDK 17或更新版本

• 从项目的根目录运行命令: ./gradlew jar , 这将把JAR文件Cassass-Bot-Detection-0.0.1.jar放在build/libs目录中

• 通过导航到Extensions选项卡，Installed子选项卡，单击Add并加载扩展文件，可以将其加载到Burp中

• 此BApp使用的是较新的Montoya API，因此最好使用最新版本的Burp。

4.支持模式

火狐浏览器需要安装以下密码套件:

4865，4867，4866，49195，49199，52393，52392，49196，49200，49162，49161，49171，49172，156，157，47，53并添加Firefox User-Agent头。

谷歌浏览器安装以下密码套件:

4865、4866、4867、49195、49199、49196、49200、52393、52392、49171、49172、156、157、47、53，并添加Chrome用户代理头。

Safari浏览器安装以下密码套件:

4865、4866、4867、49196、49195、52393、49200、49199、52392、49162、49161、49172、49171、157、156、53、47、49160、49170、10，并添加Safari User-Agent标头。

暴力破解模式:

尝试TLS协议版本和密码套件的不同组合。完整列表参考:

https://github.com/PortSwigger/bypass-bot-detection/blob/d677ad52a3cad97aa51b39b66976e35490cef76d/src/main/java/net/portswigger/burp/extensions/Constants.java#L88

原文始发于微信公众号（二进制空间安全）：悄悄绕过基于TLS指纹的机器人检测