数据观澜系统运维
快捷导航
您的位置:首页>系统运维>>如何恢复网络令牌,你学会了吗? >

如何恢复网络令牌,你学会了吗?

  发布时间:2025-12-07 20:01:24   作者:玩站小弟   我要评论
在这篇文章中,我将介绍我在逆转Office的身份验证机制时发现的两个问题,并提供一些不需要删除内存的POC工具来帮助恢复存储的令牌。微软账户服务我必须承认,当我第一次开始研究这个问题时,删除我正在运行 。

在这篇文章中,何恢我将介绍我在逆转Office的复网身份验证机制时发现的两个问题 ,并提供一些不需要删除内存的络令POC工具来帮助恢复存储的令牌 。

微软账户服务

我必须承认 ,牌学当我第一次开始研究这个问题时,何恢删除我正在运行的复网Word进程的内存并没有发现文档签名eyJ0eX 。这是络令当前工具用来识别活动令牌的主要方法,我在Windows登录时使用Microsoft 365帐户 。牌学

事实证明 ,建站模板何恢Microsoft Account (MSA)的复网身份验证令牌处理方式与通常的Azure AD SSO帐户不同 。

让我们从查看经过MSA验证的络令Office会话开始 ,启动Microsoft Office并查看加载的牌学DLL 。其中最突出的何恢是MicrosoftAccountWAMExtension.dll 。将这个DLL加载到Ghidra中,复网我们可以开始寻找为MSA帐户生成身份验证令牌的络令原因 。

如果我们在这个DLL中寻找RPC调用,就可以看到一堆被定向到名为wlidsvc的服务  :

不幸的免费模板是,微软并没有为RPC调用此服务提供IDL(或者根本没有提供很多信息) ,所以我们将不得不做一些逆向工程来解决这个问题  。

让我们将WinDBG附加到wlidsc并监视正在进行的RPC调用 。在任何Office进程中进行身份验证之后,我们看到第一个调用是RPC方法WLIDCCreateContext以创建上下文,然后是WLIDCAcquireTokensWithNGC,最后是一系列其他调用,我们将暂时忽略这些调用 。

如果我们在后一种方法中添加一个断点,那登录到Office中的服务器租用MSA帐户会导致命中 :

步进式(Stepping )直到我们点击ret并检查填充的参数,在参数12的内存区域中会显示一些有趣的东西 。

对我来说,这确实是一个象征 !如果我们打开像Fiddler这样的代理,我们会看到它与Office访问web服务时使用的身份验证令牌格式相匹配:

那么 ,我们如何从我们自己的工具中调用它呢 ?让我们使用James Forshaw的NtObjectManager生成一个可以使用的存根 。云计算

生成的RPC存根根据Windows版本的不同而不同 ,这是毫无价值的,例如 ,在Windows 10中,我们发现字段计数在输入结构上发生了变化,因此,如果你收到可怕的(0x800706F7) - The stub received bad data. 错误  ,请多家留意。

使用RPC客户端存根创建一个快速的C#应用程序 ,我们将重播我们之前观察到的模板下载入站RPC调用,并添加参数,这将给我们提供如下内容:

如果我们称之为:

由于这是MSA身份验证请求  ,我们将不得不使用Substrate等服务来访问Microsoft 365服务。旋转一个代理并在Office中导航是确定调用什么以及这些web服务采用什么参数的最佳方式。但你可以看到 ,passport令牌返回后 ,我们可以很好地进行身份验证和交互 :

令牌缓存

现在我们已经了解了如何恢复MSA,那么Azure AD呢 ?通过Lee Christensen的帖子知道,我们可以很容易地按需请求新令牌,但是我们在Office进程中看到的源码库缓存令牌被转储了,它们是如何在启动时加载的呢 ?

让我们提供一个新的主机并将我们的用户帐户与AzureAD相关联  ,然后登录到Office ,再尝试找出令牌存储的位置 。

为了确保我们在正确的轨道上 ,让我们从内存中转储一些字符串,并确保eyJ0eX签名存在。

我们再次深入搜索dll  ,但这次我们将重点关注Windows.Security.Authentication.Web.Core.dll。

这是一个WinRT库 ,因此我们需要深入Ghidra了解正在发生的事情 。

AddWebTokenResponseToCache方法如下 :

如果我们进一步研究,会发现此方法实际上负责将凭据缓存到序列化文件 ,这些文件可以在%LOCALAPPDATA%\Microsoft\TokenBroker\Cache中找到。

好的,让我们看看这些TBRES文件  :

如果我们使用ProcMon,我们会看到这些文件确实在进程启动时被Office访问:

可以看到,这就是我们的身份验证信息存储的地方!查看JSON会发现一个IsProtected字段 。在WinDBG中,我们将附加到Office ,在CryptUnprotectData上添加断点并重新启动 。果然 ,我们发现base64解密数据的内容被解密了。

JSON文件中我们特别感兴趣的字段是ResponseBytes ,我添加了一个带有快速工具的repo,该工具可以解密这些文件,可以在这里找到。

在使用ProtectedData.Unprotect解密此数据后,我们看到了明文JWT。果然,解密它们会得到我们之前从内存中看到的相同信息:

来自不同提供者和应用程序的其他令牌也存储在这些文件中 ,包括MSA令牌 ,这也是毫无价值的。

现在我们知道了 ,Windows和Office用于Live和Azure的认证和缓存会话的几种不同方法  。

POC可以在https://github.com/xpn/WAMBam上找到。

本文翻译自 :https://blog.xpnsec.com/wam-bam/如若转载,请注明原文地址

  • Tag:

相关文章

  • 麦当劳全球系统宕机,影响数千家门店

    快餐业巨头麦当劳指出,导致其全球数千家连锁店和加盟店系统宕机的原因,是第三方供应商在系统配置更改过程中的失误。上周五,在全球麦当劳员工和顾客通过社交媒体发布有关系统中断的消息数小时后,麦当劳在一份更新
    2025-12-07

  • 十款热门防火墙即服务(FWaaS)特点分析

    防火墙即服务(FWaaS)是云计算与网络安全领域中的新兴应用模式,代表了从传统本地部署防火墙解决方案向基于云的防火墙服务转变,可以为组织提供更强大的网络安全保护和更灵活的网络架构。近日,安全媒体Cyb
    2025-12-07

  • 金山文档崩了:数据安全问题是最大的担忧

    今天是周一,公司上午有例会,汇报内容都存放在金山文档中。九点钟准时打开金山文档时,系统提示需要重新登录。通过微信扫码登录后,文档依然打不开。第一时间怀疑是金山客户端的问题,但在进一步排查后发现,问题出
    2025-12-07

  • 最热门的四个新兴AI网络安全职位

    随着生成式AI和机器学习技术的飞速发展,越来越多的网络安全专业人士认为人工智能技术将会在未来两年内彻底改变他们的工作方式。根据2024年ISC2对网络安全专业人士的调查,88%的受访者预测AI将在两年
    2025-12-07

  • 企业如何建立强大的内部威胁程序

    Imperva公司最近发布的一份调查报告发现,只有18%的优先支出用于专门的内部威胁计划(ITP),而25%的支出则专注于外部威胁情报。企业需要担心的不仅仅是怀恨在心的员工——大多数内幕事件本质上都是
    2025-12-07

  • 杜绝XZ后门!OWASP发布十大开源软件安全风险清单

    近年来开源软件安全风险快速增长,不久前曝光的XZ后门更是被称为“核弹级”的开源软件供应链漏洞。虽然XZ后门事件侥幸未酿成灾难性后果,但为全球科技界敲响了警钟:当今数字生态系统极其脆弱,亟需改进开源软件
    2025-12-07

最新评论