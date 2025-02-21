Figura 5 - estrutura de handshake do NNS

Em seguida, o servidor envia de volta uma mensagem NNS NTLMSSP_Challenge, que contém um desafio usado para construir o NTLMSSP_AUTH como um desafio-resposta a ser enviado de volta ao servidor para autenticação. Após a autenticação bem-sucedida, o servidor envia de volta uma mensagem final de handshake NNS (0x15) indicando o status da autenticação. Algo digno de nota é que rapidamente descobrimos que o ADWS não era vulnerável a ataques de retransmissão NTLM devido à necessidade de assinatura de mensagens no lado do servidor.

Após a conexão do NMF ser atualizada com sucesso para o NNS e o cliente ter sido autenticado no servidor, o cliente envia a mensagem de término de Preamble do NMF (0xC), informando ao servidor que o Preamble foi concluído. O servidor responde com uma mensagem de confirmação de Preamble do NMF (0xB), reconhecendo que o Preamble foi concluído e que o cliente agora pode enviar dados.

Conforme mencionado anteriormente, os dados enviados para o servidor precisam ser estruturados no formato NBFSE, conforme definido pela especificação aqui. O NBFSE é usado para codificar ou serializar dados SOAP a serem enviados por NMF. NBFSE é uma extensão do NBFS (.NET Binary Format: SOAP Data Structure), que por si só é uma extensão do NBFX (.NET Binary Format: XML Data Structure), exigindo que implementemos todas as três especificações de formatação XML. O NBFSE exige o uso de um dicionário em banda para procedimentos de redução de dados, mas descobrimos que esse requisito pode ser ignorado enviando mensagens com um dicionário em banda em branco.

Após a implementação do NBFSE, nosso foco mudou para entender como um cliente interage com o ADWS após a conclusão do processo de autenticação. Originalmente, queríamos consultar o LDAP, então a primeira mensagem de dados que implementamos foi a mensagem Enumeração do ADWS. Essa mensagem inclui a consulta do LDAP que deve ser usada pelo servidor para consultar o serviço LDAP local, bem como uma lista de atributos do LDAP que devem ser retornados para cada objeto. Além disso, cada mensagem de enumeração define a ação "Enumerate" e o endpoint "Enumeration". Observe que cada mensagem deste ponto em diante é uma mensagem de dados SOAP completa; por exemplo, uma mensagem de Enumeration é mostrada abaixo: