前言

JA3指纹是通过本地发起TLS握手阶段时，根据Client Hello中的TLS版本、支持的加密套件、使用的扩展等字段加密生成。因此基于JA3指纹（现在已经有JA4+指纹）可以识别如Cobalt Strike beacon的攻击，而不一定去解密TLS报文。在渗透测试过程中，白帽子们也常常使用Burpsuite代理工具，因此也可以通过识别Burpsuite的JA3指纹来发现是否有白帽子进行测试。

抓包获取JA3指纹

这里介绍两种方式，一种是wireshark，一种是python脚本。首先是wireshark，wireshark是支持展示JA3的，可以输入以下搜索语句来检索client hello报文（如果知道IP的话，直接ip.addr == ip来尝试找到client hello包）：

tls.handshake.extensions_server_name!=""

然后点击报文，在如下菜单最下方即可看到JA3等其他指纹：

脚本的话麻烦点，先抓包保存成pcap，然后使用https://github.com/salesforce/ja3进行测试：

JA3指纹实操

因为JA3指纹是客户端的，因此无法做到统一指纹，比如CobaltStrike beacon是使用Windows套接字进行TLS通信，因此不同的操作系统都会产生不同的指纹，如下为windows 11+cs4.8 beacon JA3指纹如下：

这个指纹无法在网上搜到相关信息。

而windows server 2016+cs4.8 beacon 的JA3指纹就变了：

而这个指纹就能在网上搜到相关信息了：

网上说更改c2 profile可以解决JA3指纹：

测试并不能，因为profile并不能控制TLS的Client Hello信息，最多可以控制到JA3S或者是新的JA4H的指纹，而不能控制JA3指纹。

通过监测Burpsuite JA3指纹可以拿来判断当前网站是不是有人正在做渗透测试，只要让浏览器走Burpsuite代理，然后使用上述方法即可获取到Burpsuite的JA3指纹：

总结

本文演示了获取JA3指纹的方法，在甲方防御中可以考虑使用JA3指纹来监测Cobalt Strike beacon、Burpsuite。

原文始发于微信公众号（中国白客联盟）：获取JA3指纹