Abbildung 5 – Struktur des NNS-Handshakes

Der Server sendet dann eine NNS NTLMSSP_Challenge-Nachricht zurück, die eine Challenge enthält, die zum Aufbau der NTLMSSP_AUTH als Challenge-Response verwendet wird, die zur Authentifizierung an den Server zurückgesendet wird. Nach erfolgreicher Authentifizierung sendet der Server dann eine abschließende NNS-Handshake-Nachricht (0x15) zurück, die den Status der Authentifizierung anzeigt. Bemerkenswert ist, dass wir schnell herausgefunden haben, dass ADWS nicht anfällig für NTLM-Relay-Angriffe ist, da die Signierung der Nachrichten serverseitig erforderlich ist.

Nachdem die NMF-Verbindung erfolgreich auf NNS aktualisiert und der Client sich beim Server authentifiziert hat, sendet der Client die NMF Preamble End-Nachricht (0xC) und teilt dem Server mit, dass die Preambel abgeschlossen wurde. Der Server antwortet mit einer NMF-Präambel-Bestätigungsnachricht (0xB), in der er bestätigt, dass die Präambel abgeschlossen ist und der Client nun Daten senden kann.

Wie bereits erwähnt, müssen die an den Server gesendeten Daten im NBFSE-Format strukturiert sein, wie es in der Spezifikation hier definiert ist. NBFSE wird zur Kodierung oder Serialisierung von SOAP-Daten verwendet, die über NMF gesendet werden sollen. NBFSE ist eine Erweiterung von NBFS (.NET Binary Format: SOAP Data Structure), das wiederum eine Erweiterung von NBFX (.NET Binary Format: XML Data Structure) ist, so dass wir alle drei XML-Formatierungsspezifikationen implementieren müssen. NBFSE verlangt die Verwendung eines In-Band-Wörterbuchs für Datenreduktionsverfahren, wir haben jedoch festgestellt, dass diese Anforderung umgangen werden kann, indem Nachrichten mit einem leeren In-Band-Wörterbuch gesendet werden.

Nach der Implementierung von NBFSE verlagerte sich unser Fokus darauf, zu verstehen, wie ein Client nach Abschluss des Authentifizierungsprozesses mit ADWS interagiert. Ursprünglich wollten wir LDAP abfragen, daher war die erste Datennachricht, die wir implementierten, die ADWS-Enumerationsnachricht. Diese Nachricht enthält die LDAP-Abfrage, die der Server verwenden soll, um den lokalen LDAP-Dienst abzufragen, sowie eine Liste der LDAP-Attribute, die für jedes Objekt zurückgegeben werden sollen. Darüber hinaus definiert jede Aufzählungsnachricht die „Enumerate“-Aktion und den „Enumeration“-Endpunkt. Beachten Sie, dass jede Nachricht ab diesem Zeitpunkt eine vollständige SOAP-Datennachricht ist; beispielsweise wird unten eine Enumerationsnachricht angezeigt: