在这篇文章中,我将描述我在逆向Office的身份验证机制时发现的两个问题,并提供一些不需要擦除内存来帮助恢复存储令牌的概念验证工具。MicrosoftAccountServices我必须承认,当我第一次开始研究这个问题时,删除我正在运行的Word进程的内存并没有显示文档签名eyJ0eX。这是当前工具用于识别活动令牌的主要方法,我在使用Windows登录时使用的是Microsoft365帐户。事实证明,Microsoft帐户(MSA)处理身份验证令牌的方式与通常的AzureADSSO帐户不同。让我们从查看MSA验证的Office会话开始,启动MicrosoftOffice并查看加载的DLL。其中最突出的是MicrosoftAccountWAMExtension.dll。将此DLL加载到Ghidra中,我们可以开始寻找为MSA帐户生成身份验证令牌的内容。如果我们在这个DLL中寻找RPC调用,我们可以看到其中有一堆被定向到一个名为wlidsvc的服务:不幸的是,Microsoft没有为RPC调用这个服务提供IDL(或者根本没有很多信息),所以我们将不得不做一些逆向工程来解决这个问题。让我们将WinDBG附加到wlidsc并监视正在进行的RPC调用。在任何Office进程中进行身份验证后,我们看到的第一个调用是创建上下文的RPC方法WLIDCCreateContext,然后是WLIDCAcquireTokensWithNGC,最后是一系列其他调用,我们暂时忽略这些调用。如果我们在后一种方法中添加断点,则在Office中登录MSA帐户会导致命中:单步执行直到我们命中ret并检查填充的参数,在参数12的内存区域中会显示一些有趣的内容。对我来说,这真的是一个象征!如果我们打开像Fiddler这样的代理,我们会看到它与Office用来访问Web服务的身份验证令牌格式相匹配:那么,我们如何从我们自己的工具中调用它呢?让我们使用JamesForshaw的NtObjectManager来生成一个工作存根。生成的RPC存根因Windows版本而异,并且毫无价值,例如在Windows10中,我们发现输入结构中的字段计数发生了变化,因此如果您收到可怕的(0x800706F7)-存根收到了错误数据。错误,请注意。使用RPC客户端存根创建一个快速的C#应用程序,我们将重放我们之前观察到的入站RPC调用,并添加参数,这将给我们这样的东西:如果我们调用:因为这是MSA身份验证请求,我们将不得不使用Substrate等服务来访问Microsoft365服务。旋转代理并在Office中导航是确定调用什么以及这些Web服务采用哪些参数的最佳方式。但正如您所见,在护照令牌返回后,我们可以很好地进行身份验证和交互:令牌缓存现在我们已经了解了如何恢复MSA,那么AzureAD呢?从LeeChristensen的帖子得知,我们可以轻松地按需请求新的令牌,但是我们在Office进程中看到的缓存令牌被转储了,它们在启动时如何加载?让我们预配一个新主机并将我们的用户帐户与AzureAD相关联,登录到Office,并尝试找出令牌的存储位置。为了确保我们在正确的轨道上,让我们从内存中转储一些字符串并确保eyJ0eX签名存在。让我们再次深入研究dll,但这次我们将关注Windows.Security.Authentication.Web.Core.dll。这是一个WinRT库,因此我们需要深入了解Ghidra以了解发生了什么。AddWebTokenResponseToCache方法如下:如果我们进一步调查,这个方法实际上负责将凭据缓存到序列化文件中,可以在%LOCALAPPDATA%\Microsoft\TokenBroker\Cache中找到。好的,让我们看一下这些TBRES文件:如果我们使用ProcMon,我们会看到这些文件确实在进程启动时被Office访问:如您所见,这就是我们的身份验证信息存储的地方!查看JSON会发现一个IsProtected字段。在WinDBG中,我们将附加到Office,在CryptUnprotectData上添加断点并重新启动。果然,我们发现base64解密数据的内容被解密了。我们对JSON文件特别感兴趣的字段是ResponseBytes,我添加了一个带有可以解密这些文件的快速工具的repo,可以在此处找到。使用ProtectedData.Unprotect解密此数据后,我们看到明文JWT。果然,解密它们会产生我们之前从记忆中看到的相同信息:来自不同提供商和应用程序的其他令牌也存储在这些文件中,包括MSA令牌,它们也毫无价值。现在我们知道Windows和Office使用几种不同的方法来验证和缓存与Live和Azure的会话。POC可以在https://github.com/xpn/WAMBam找到。本文翻译自:https://blog.xpnsec.com/wam-bam/如有转载请注明原文地址
