TLS指纹模拟

最新推荐文章于 2024-05-03 16:49:47 发布
最新推荐文章于 2024-05-03 16:49:47 发布
阅读量2k 收藏 10
点赞数
分类专栏: 公众号归档 攻防实战应用 安全开发 文章标签: 计算机网络 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39251927/article/details/127883501
版权

深蓝实验室@lz520520

介绍

https等协议通过tls加密传输,大家可能觉得数据被全加密了应该可以保证无恶意流量特征,流量侧通信不会被发现,但在加密前,会有一个tls协商过程,client和server协商交互才会生成最后加密用的密钥,而这个协商过程就可以切切实实进行指纹提取。这就是tls指纹。

JA3是一种创建SSL/TLS客户端指纹的方法,它易于在任何平台上生成,并且可以轻松共享以获取威胁情报。JA3 由三位 Salesforce 成员(John Althouse、Jeff Atkinson 和 Josh Atkins)开发,是一种用于根据 ClientHello 数据包生成 SSL 指纹以识别建立加密连接的客户端的技术。相同的客户端工具所产生的JA3指纹总是一致的。JA3 指纹从一开始就是为了证明客户端应用程序是否存在恶意。

我们在使用burpsuite等工具时,经常会遇到网站无法打开,去掉代理又变正常的情况,很可能是网站的WAF使用了JA3指纹识别到了代理工具。常见的如cloudfare waf就使用了该指纹技术。

go默认ja3指纹89be98bbd4f065fe510fca4893cf8d9b

chromeja3指纹cd08e31494f9531f560d64c695473da9

分析

ja3

tls指纹生成过程

JA3方法用于收集Client Hello数据包中以下字段的十进制字节值:版本、可接受的密码、扩展列表、椭圆曲线密码和椭圆曲线密码格式。然后,它将这些值串联在一起,使用“,”来分隔各个字段,同时,使用“-”来分隔各个字段中的各个值。

版本、可接受的密码、扩展列表、椭圆曲线密码和椭圆曲线密码格式
SSLVersion,Cipher-Suites,SSLExtension,EllipticCurve,EllipticCurvePointFormat

例子

769,47-53-5-10-49161-49162-49171-49172-50-56-19-4,0-10-11,23-24-25,0

然后使用MD5 hash生成指纹

ada70206e40642a3e4461f35503241d5

具体分析

这里以go开发的frp为例

Client Hello数据包如下,ja3就是由以下圈出来的部分生成的

SSLVersion

这里显示是 TLS1.2,对应实际值是0x0303

转换成十进制为

771

Cipher-Suites

如下加密算法套件有19个,根据ja3规则,每个之间用"-"连接

转换成果如下

49199-49200-49195-49196-52392-52393-49171-49161-49172-49162-156-157-47-53-49170-10-4865-4867-4866

SSLExtension

这个扩展列表是由所有扩展类型值组成,如下扩展类型值有8个

生成结果为

5-10-11-13-65281-18-43-51

EllipticCurve

椭圆曲线密码

即扩展type值为10对应的数据,这里写的是supported_group

生成结果为

29-23-24-25

EllipticCurvePointFormat

椭圆曲线格式

即扩展type只为11对应的数据,这里数据值为0

生成结果为

0

最后将上面所有部分用","拼接组成最终需要hash的字符串

771,49199-49200-49195-49196-52392-52393-49171-49161-49172-49162-156-157-47-53-49170-10-4865-4867-4866,5-10-11-13-65281-18-43-51,29-23-24-25,0

进行hash计算如下

通过ja3工具解析数据包结果,可以看到和我们计算结果一致

ja3s

JA3S方法会收集Server Hello数据包中以下各个字段的十进制字节值:版本、可接受的加密算法和扩展列表。然后,它将这些值串联在一起,使用“,”来分隔各个字段,并通过“-”来分隔每个字段中的各个值。

SSLVersion,Cipher,SSLExtension
769,47,65281–0–11–35–5–16

PS: 因为Server Hello会因为Client Hello不同和不同,所以只能做一个参考。

计算

FRP的Server Hello数据包如下,计算需要的三部分如下

SSLVersion

版本

生成结果

771

Cipher

可接受的加密算法,只有一个

生成结果

4865

SSLExtension

扩展列表,扩展列表只有两个

根据类型值,生成结果

43-51

将上述拼接起来

771,4865,43-51

但ja3s工具生成,加密套件这块额外添加了参数实际算法名称

如下,但实际表示意义也是唯一的

771,CipherSuite(0x1301, TLS_AES_128_GCM_SHA256),43-51

绕过

文章

https://mp.weixin.qq.com/s/og2IKo8lcydh8PROUPD7jQhttps://segmentfault.com/a/1190000041699815

https://github.com/refraction-networking/utls

这个库是基于crypto/tls进行开发的,可以模拟绝大部分情况下的ja3指纹。

和官方库差不多的用法,如下在封装时除了conn连接和config配置以外,需要传入ClientHelloID,这个ID是有一些内置的指纹可以直接调用,或者也可以自定义。

conn, _ := net.DialTimeout("tcp", "121.14.77.201:443", 10*time.Second)
uConn := tls.UClient(conn, &tls.Config{ServerName: "www.qq.com", InsecureSkipVerify: true}, tls.HelloChrome_102)
uConn.Write([]byte("aaa"))

这是官方库

u_common.go,如下有非常全的现成指纹信息可以用。

这些ID最终对应到这个函数utlsIdToSpec里

后续可参考这里编写实现自己的。

并且该库还支持解析数据包中的client hello信息,来自动化构建一个自定义参数,实现模拟各种ja3指纹

浏览器访问,然后抓包找到client hello包,选中tls层的数据,然后复制成hex stream即可。

将tls的hex数据粘贴到以下位置,通过fingerprinter.FingerprintClientHello即可解析生成一个自定义spec,封装到tlsConn里直接使用。

要注意的是ClientHelloID还设置成HelloCustom即自定义

conn, _ := net.DialTimeout("tcp", "121.14.77.201:443", 10*time.Second)
rawCapturedClientHelloBytes, _ := hex.DecodeString("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")
uConn := tls.UClient(conn, &tls.Config{ServerName: "www.qq.com", InsecureSkipVerify: true}, tls.HelloCustom)
fingerprinter := &tls.Fingerprinter{}
generatedSpec, err := fingerprinter.FingerprintClientHello(rawCapturedClientHelloBytes)
if err != nil {
t.Fatalf("fingerprinting failed: %v", err)
}
if err := uConn.ApplyPreset(generatedSpec); err != nil {
t.Fatalf("applying generated spec failed: %v", err)
}
uConn.Write([]byte("aaa"))

可以看到完全一致(wireshark好像3.6以上就支持ja3的指纹生成了)

PS: 要注意一点,SNI也会参与计算,如果ServerName为空会不插入Extension里,导致ja3指纹计算结果不一样

这个库还有些其他玩法,可以自行参考文档或者他的example.go

存在小bug,如果自动握手,可能会出现握手失败的问题,建议手动握手

uConn := tls.UClient(c, tlsConfig, tls.HelloChrome_Auto)
// 错误姿势,如此可能会报错
uConn.Write([]byte("a"))
// 正确姿势

err := uConn.Handshake()
La2y
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
模拟实现了TLS通信过程的全流程
08-11
原理可概括为:client通过验证server身份并分享会话密钥,然后通过只有server可client知道的会话密钥进行通信。全流程如下(client建立与server的TLS通信): 1. client验证server证书合法性,client对server的可信验证是通过CA证书链完成。 2. client验证server证书合法后,client本地生成会话密钥(对称密钥)sk。 3. client使用server的公钥对会话密钥加密后的数据m并发送给server。 4. server收到加密后的数据m后,使用自己的私钥解密m并获得会话密钥sk。 5. server使用会话密钥sk对“连接建立好的消息”加密并返回给client。 6. client使用会话密钥sk解密后知晓连接已建立。 7. client与server通过会话密钥进行安全传输。
突破TLS/JA3指纹识别(infinigo)
qq_42519299的博客
09-29 1574
突破infinigo网站的TLS/JA3指纹识别
TLS指纹的校验原理和绕过
jiufu2022的博客
02-19 904
2、抓网卡 注:如果我们的电脑有多张网卡,可以通过:ifconfig查看ip所属的网卡名,然后在wireshark上点击监控即可,或者将鼠标移到wireshark页面所展示的网卡名,wireshark会自动显示ip地址,然后选择我们要监控ip所在的网卡即可。它基于传输层安全协议(TLS)的特征,通过比较预期的TLS指纹和实际连接的TLS指纹来进行校验。比较指纹:将预期的TLS指纹与实际连接的TLS指纹进行比较。预期的TLS指纹获取:在进行TLS指纹校验之前,你需要事先获取预期的TLS指纹
某某网站 JS 逆向及 tls 指纹绕过分析
静觅
11-13 1403
这是「进击的Coder」的第 749篇技术分享作者:TheWeiJun来源:逆向与爬虫的故事“ 阅读本文大概需要 12 分钟。 ” 特别声明:本公众号文章只用于学术研究,不作为其它不法用途;如有侵权请联系作者删除。目录一、前言介绍二、参数分析三、断点调试四、算法分析五、指纹绕过六、学习展望趣味模块 Robbers 是一名 spider 工程师,最近 Robbers遇到了一...
TLS指纹识别
SHELLCODE_8BIT的博客
04-23 222
【代码】TLS指纹识别。
在Go的帮助下模仿Node内的TLS / JA3指纹-Golang开发
05-26
在Go myTls的帮助下,在Node内模拟TLS / JA3指纹在Go安装的帮助下,在Node内模拟TLS / JA3指纹。$ npm install mytls用法const initMyTls = require('mytls'); // Typescript:从“ mytls”导入initMyTls; (async()=> {const myTls = await initMyTls(); const response = await myTls('https://ja3er.com/json',{body:'',标头:{'user-agent':'customheaders ',},ja3:'771,255-49195-49199-49196-49200-49171-49172-156-157-47-53,0-10-11-13,23-24,0',});})( ); // => {// =>状态
tls协议|tls客户端|tls模拟|tls指纹|浏览器指纹|akamai
hanli_lifeiyu的博客
10-10 620
tls协议|tls客户端|tls模拟|tls指纹|浏览器指纹
akamai TLS指纹(即JA3)
hero706309的专栏
08-16 5463
akamai1.75 TLS指纹 ja3 akamai2.0 Cloudflare 5秒盾
TSL指纹
china-mogul
11-16 1749
请求遇到403,查看了一些主流网站的博文,发现都是讲解ua的问题,但是很少说到TSL指纹也会导致请求遇到403。 如何解决这个问题呢 ? 首先我们需要知道TSL指纹是什么东西: 正常的应用会通过TLS/SSL对通信流量进行加密,以确保数据安全传输; 恶意软件也会对其通信流量进行TLS/SSL加密,以此来躲避检测。 为了建立TLS/SSL连接,客户端与服务端之间会先完成TCP三次握手,建立可靠的通信; 然后进入TLS/SSL握手阶段,客户端会发送Client Hello请求数据包,如果服务端同...
tls指纹之到底怎么判断是否有tls、到底怎么对抗tls
app安全逆向、移动开发、tls/ja3、爬虫、反爬
03-13 2370
其实自从大概一年前,发了tls/ja3那篇文章之后开始 ,就时不时有朋友找我私聊,让我帮忙看看某某平台,“怎么回事啊?”,“怎么python请求不到?”,“到底是不是tls?”,“怎么过tls?”,等等...真的还挺多的所以,这篇文章,我把我想的写出来,还不太懂的,请仔细看,一个字一个字的看,因为有的朋友问的问题,之前的文章其实都有的,所以我希望各位朋友,这篇文章请认真看如果看完我这篇文章,还是无法确定是否是tls的话,也可以继续问我,但我希望你是经过自己思考还是没搞定的情况下再来的。
指纹镜检查:我在使用Golang的TLS指纹识别包时感到刺痛
02-09
指镜检查 GO软件包,用于执行TLS指纹识别。 实际上,我很快就会在这里获得一些文档:)
mbedtls开源sdk
04-06
mbedTLS(前身 PolarSSL)是一个由 ARM 公司开源和维护的 SSL/TLS 算法库。其使用 C 编程语言以最小的编码占用空间实现了 SSL/TLS 功能及各种加密算法,易于理解、使用、集成和扩展,方便开发人员轻松地在嵌入式产品...
协议TLS1.2数据包
02-19
可以用于学习和分析tls协议的加密和交互过程
逻辑漏洞:水平越权、垂直越权靶场练习
qq_68163788的博客
05-02 929
水平越权和垂直越权是组织中常见的管理问题,指的是员工在组织中所拥有的权力和责任超出其职位所应具备的范围。 水平越权是指员工在同一级别的职位上超越了其同事的权力和责任范围,通常表现为某个员工在团队中承担了过多的任务或权力,导致其他同事感到不公平或不满。 垂直越权则是指员工在组织中超越了其职位等级的权力和责任范围,通常表现为员工在没有得到上级批准的情况下做出决策或行动,可能会导致组织内部的混乱和冲突。
软件应用开发安全设计指南
最新发布
weixin_41039677的博客
05-03 311
在设计系统架构时,要充分考虑各种安全威胁,如DDoS攻击、SQL注入、跨站脚本攻击(XSS)等,并采取相应的防护措施。设计时要充分考虑到系统架构的稳固性、可维护性和可扩展性,以确保系统在面对各种安全威胁时能够稳定运行。设计审计和日志记录功能,以记录系统的活动和事件,为安全审计和故障排除提供依据。对网络通讯进行严格的身份验证和访问控制,防止未经授权的访问和数据泄露。在设计软件功能时,要充分考虑功能的安全性,避免引入潜在的安全漏洞。限制对存储设备的物理访问权限,防止未经授权的访问和数据篡改。
创造未来知识管理新篇章:Ollama与AnythingLLM联手打造个人与企业的安全知识库!
跟着大数据和AI去旅行
04-30 1136
Ollama是一个开源的大型语言模型服务工具,它帮助用户快速在本地运行大模型。通过简单的安装指令,用户可以执行一条命令就在本地运行开源大型语言模型,如Llama 2。Ollama极大地简化了在Docker容器内部署和管理LLM的过程,使得用户能够快速地在本地运行大型语言模型。打造个性化聊天机器人:用Ollama和Open WebUI搭建你的私有ChatGPT!windows 下 docker compose 安装 ollama 和 open-webui ,打造私有GPT。
校园安全升级:AR实景监测场景方案
lxzn123的博客
04-29 646
数据融合视频直观呈现:利用增强现实技术,将校园资源数据以标签形式融合到视频画面中,实现统筹管理,真正做到所见即所得,提升业务可视化管理水平。- 全景监控与细节兼顾:通过高点全局监控与低点细节查看的结合,实现全景与低空监控的联动,打造出实景式、立体化的全局防控体系。- 数据展示不直观:校园内的重点场所,如校门、广场、教学楼和图书馆等,其资源详细数据的展示并不直观,无法快速定位和查看。- 传统监控的局限性:传统的校园监控系统多采用窗口监控模式,这种模式视野范围有限,画面分散,缺乏全局视角和重点监控。
Linux系统安全及应用(1)
煤五千的博客
04-26 1299
usermod -s /sbin/nologin 用户名usermod-L用户名passwd-S用户名passwd-用户名userdel [-r]用户名。
naive proxy tls 指纹
08-12
Naive Proxy TLS 指纹是指在使用 Naive Proxy 进行网络通信时,TLS(Transport Layer Security)连接的指纹或特征。TLS 指纹可以用来识别和区分不同的 TLS 连接,类似于指纹可以用来识别不同的人一样。 TLS 指纹是通过对 TLS 握手过程中的证书、密码套件和其他参数进行哈希计算而生成的。不同的 TLS 实现和配置会导致不同的 TLS 指纹。通过识别 TLS 指纹,可以检测出使用 Naive Proxy 进行网络通信的行为,因为 Naive Proxy 可能会导致 TLS 连接的指纹与正常的直接连接有所不同。 一些网络监测和过滤系统可能会使用 TLS 指纹来检测和阻止使用代理服务器的行为。为了隐藏使用 Naive Proxy 的事实,可以尝试使用其他更高级的代理工具或采取其他措施来隐藏 TLS 指纹,例如使用更复杂的代理工具或使用混淆技术来模糊通信的指纹。然而,请注意,在某些情况下,使用代理服务器可能违反法律或网络使用政策。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值