Burp被WAF拦截时

2025年6月30日00:14:48评论23 views字数 454阅读1分30秒阅读模式

两水夹明镜，双桥落彩虹。——

有些时候目标网站出现无法访问时，不挂burp却可正常访问，那大概率是被WAF拦截。

即之前一篇修改Burp的指纹之后，还是出现这种情况的话

关闭指纹特征

Enginge，公众号：Engingeburp指纹修改

那就需要劫持HTTP 和 TLS 堆栈，以达到来欺骗任何浏览器 TLS 指纹（JA3）识别。即burp-awesome-tls，其可bypass大多数WAF的指纹识别（如CloudFlare、PerimeterX、Akamai、DataDome 等各种 WAF ）

安装方式，即装即用，转到 Extender > Extensions，然后单击“添加”。然后，选择 Java 作为扩展类型并浏览到您刚刚下载的 jar 文件，java版本须17以上。

普通工作模式下，类似于中间代理的模式，收到请求时，扩展程序会将其转发至本地后台运行的HTTPS代理服务。处理完数据后发送给目标。之后再回传至Burp Suite返回数据。

回复"250629"获取工具链接

原文始发于微信公众号（Enginge）：Burp被WAF拦截时

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

转储 LSASS 像 2019 年一样简单