Figure 5 – Structure du handshake NNS

Le serveur renvoie ensuite un message NNS NTLMSSP_Challenge, qui contient un défi utilisé pour construire le NTLMSSP_AUTH sous forme de réponse-défi à renvoyer au serveur pour authentification. Une fois l’authentification réussie, le serveur renvoie un message d’établissement de liaison NNS final (0x15) indiquant l’état de l’authentification. Un point à noter : nous avons rapidement appris que l’ADWS n’était pas vulnérable aux attaques relais NTLM car la signature de messages était requise côté serveur.

Après que la connexion NMF a été mise à niveau avec succès vers le NNS et que le client s’est authentifié au serveur, le client envoie le message NMF Preamble End (0xC), informant le serveur que le préambule est terminé. Le serveur répond par un message NMF Preamble Acknowledgement (0xB), reconnaissant que le préambule est terminé et que le client peut désormais envoyer des données.

Comme mentionné précédemment, les données envoyées au serveur doivent être structurées au format NBFSE, tel que défini par la spécification ici. NBFSE est utilisé pour encoder ou sérialiser les données SOAP à envoyer via NMF. NBFSE est une extension de NBFS (.NET Binary Format : SOAP Data Structure), qui est elle-même une extension de NBFX (.NET Binary Format : XML Data Structure), ce qui nous oblige à implémenter les trois spécifications de formatage XML. Le NBFSE exige l’utilisation d’un dictionnaire intrabande pour les procédures de réduction des données, mais nous avons constaté que cette exigence peut être contournée en envoyant des messages avec un dictionnaire intrabande vide.

Après avoir implémenté le NBFSE, nous nous sommes concentrés sur la façon dont un client interagit avec ADWS une fois le processus d’authentification terminé. À l’origine, nous voulions interroger le LDAP. Le premier message de données que nous avons implémenté était le message d’énumération ADWS. Ce message inclut la requête LDAP qui doit être utilisée par le serveur pour interroger le service LDAP local, ainsi qu’une liste des attributs LDAP qui doivent être retournés pour chaque objet. En outre, chaque message d’énumération définit l’action « Enumerate » et le point de terminaison « Enumeration ». Notez que chaque message à partir de maintenant est un message de données SOAP complet ; par exemple, un message d’énumération est présenté ci-dessous :