그림 5 - NNS 핸드셰이크 구조

그런 다음 서버는 NNS NTLMSSP_Challenge 메시지를 다시 보냅니다. 이 메시지에는 NTLMSSP_AUTH를 인증 요청 응답으로 작성하여 인증을 위해 서버로 다시 보내는 데 사용되는 챌린지가 포함됩니다. 인증에 성공하면 서버는 인증 상태를 나타내는 최종 NNS 핸드셰이크 메시지(0x15)를 다시 보냅니다. 주목할 만한 점은 서버 측에서 메시지 서명이 필요하기 때문에 ADWS가 NTLM 릴레이 공격에 취약하지 않다는 사실을 빠르게 알게 되었다는 점입니다.

NMF 연결이 NNS로 성공적으로 업그레이드되고 클라이언트가 서버에 인증되면 클라이언트는 NMF 프리앰블 종료 메시지(0xC)를 서버에 전송하여 프리앰블이 완료되었음을 알립니다. 서버는 NMF 프리앰블 확인 메시지(0xB)로 응답하여 프리앰블이 완료되었으며 클라이언트가 이제 데이터를 보낼 수 있음을 확인합니다.

앞서 언급했듯이 서버로 전송되는 데이터는 여기 사양에 정의된 대로 NBFSE 형식으로 구조화해야 합니다. NBFSE는 NMF를 통해 전송할 SOAP 데이터를 인코딩하거나 직렬화하는 데 사용됩니다. NBFSE는 NBFS(.NET 바이너리 형식: SOAP 데이터 구조)의 확장으로, 그 자체가 NBFX(.NET 바이너리 형식: XML 데이터 구조)의 확장이므로 세 가지 XML 형식 지정 사양을 모두 구현해야 합니다. NBFSE는 데이터 감소 절차에 대역 내 사전을 사용하도록 요구하지만, 빈 대역 내 사전으로 메시지를 전송하면 이 요구 사항을 우회할 수 있다는 사실을 발견했습니다.

NBFSE를 구현한 후에는 클라이언트가 인증 프로세스를 완료한 후 ADWS와 상호 작용하는 방식을 이해하는 데 중점을 두었습니다. 원래는 LDAP를 쿼리하려고 했기 때문에 구현한 첫 번째 데이터 메시지는 ADWS 열거 메시지였습니다. 이 메시지에는 서버에서 로컬 LDAP 서비스를 쿼리하는 데 사용해야 하는 LDAP 쿼리와 각 개체에 대해 반환되어야 하는 LDAP 속성 목록이 포함되어 있습니다. 또한 각 열거 메시지는 "열거" 작업과 "열거" 엔드포인트를 정의합니다. 이 시점부터의 각 메시지는 전체 SOAP 데이터 메시지이며, 예를 들어 열거 메시지는 아래와 같습니다.