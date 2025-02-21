Figura 5 – Struttura della stretta di mano NNS

Il server invia quindi un messaggio NNS NTLMSSP_Challenge, che contiene una sfida utilizzata per costruire il NTLMSSP_AUTH come risposta alla sfida da inviare al server per l'autenticazione. Dopo aver autenticato con successo, il server invia un ultimo messaggio di handshake NNS (0x15) che indica lo stato dell'autenticazione. È degno di nota che abbiamo scoperto rapidamente che ADWS non era vulnerabile agli attacchi relay NTLM poiché la firma dei messaggi era richiesta lato server.

Dopo che la connessione NMF è stata aggiornata correttamente a NNS e il client si è autenticato sul server, il client invia il messaggio NMF Preamble End (0xC), comunicando al server che Preamble è stato completato. Il server risponde con un messaggio NMF Preamble Acknowledgement (0xB), riconoscendo che Preamble è terminato e che il client può ora inviare i dati.

Come accennato in precedenza, i dati inviati al server devono essere strutturati nel formato NBFSE, come definito dalla specifica qui. NBFSE viene utilizzato per codificare o serializzare i dati SOAP da inviare tramite NMF. NBFSE è un'estensione di NBFS (.NET Binary Format: SOAP Data Structure), che a sua volta è un'estensione di NBFX (.NET Binary Format: XML Data Structure), richiedendo di implementare tutte e tre le specifiche di formattazione XML. NBFSE richiede l'uso di un dizionario in banda per le procedure di riduzione dei dati, ma abbiamo scoperto che questo requisito può essere aggirato inviando messaggi con un dizionario in banda vuoto.

Dopo l'implementazione di NBFSE, il nostro focus si è spostato sulla comprensione di come un client interagisce con ADWS dopo aver completato il processo di autenticazione. Inizialmente volevamo interrogare LDAP, quindi il primo messaggio di dati che abbiamo implementato è stato il messaggio di enumerazione ADWS. Questo messaggio include la query LDAP che dovrebbe essere utilizzata dal server per interrogare il servizio LDAP locale, oltre a un elenco degli attributi LDAP che dovrebbero essere restituiti per ciascun oggetto. Inoltre, ogni messaggio di enumerazione definisce l'azione "Enumerazione" e l'endpoint "Enumerazione". Nota che ogni messaggio da questo momento in poi è un messaggio di dati SOAP completo; ad esempio, di seguito è riportato un messaggio di enumerazione: