漏洞点⼆：错误设置CFB8模式

建⽴安全通道时，需要使⽤ComputeNetlogonCredential函数对客户端的Netlogon凭据输⼊client challenge和服 务器的Netlogon凭据输⼊server challenge (SC）进⾏加密，ComputeNetlogonCredential函数⽀持使⽤AES-128 加密算法和DES_ECB 进⾏加密，采⽤哪种加密算法在NetrServerAuthenticate3 (Opnum 26)或 NetrServerAuthenticate2（Opnum 15）⽅法中的NegotiateFlags（32 位位标志，可协商选项）中进⾏定义，例 如使⽤AES-128 加密算法，如图6-所示。

图6- NegotiateFlags 标志

漏洞点1:错误使⽤了 AES-128 加密算法，ComputeNetlogonCredential函数使⽤的是名为在8位CFB模式下使⽤零 初始向量的AES-128加密算法：

复制

CFB是⼀种分组密码，可以将块密码变为⾃同步的流密码，CFB8模式下加密过程，如图6- 所示： 1.将明⽂拆分为N份，C1，C2，C3，然后定义⼀个初始向量IV；

2.第⼀先将轮加密初始向量IV，然后异或明⽂得到第⼆轮的密⽂，加密第⼆轮的密⽂，异或明⽂得到第三轮的密 ⽂；

图6- CFB加密过程 其加解密公式如下：

这种加密算法要求IV每次都要随机不同，然⽽ComputeNetlogonCredential 函数中IV却是固定，即 IV=000000000000000000000000000000，现在如果我们控制输⼊的明⽂为0000000000000000，那么整个加密 过程变量为在AES加密中的Key（AES加密使⽤的Key会随着每⼀轮Server Challenge的变化⽽变化）。但是因为 AES 是⼀种没有统计偏差的⾼质量密码，输⼊任何使⽤密钥加密的字符，输出中的每个位为0或1的概率都为 50%，所以8个输出位全为零的⼏率为1/256，所以如果我们控制明⽂内容为0000000000000000然后不断的进⾏ 运算，那么⼀定存在⼀个Key，使得密⽂为00000000，如图6- 所示。

图6- IV和明⽂为0的运算过程

所以配合漏洞点⼀中的利⽤，我们可以通过关闭签名校验，然后发送⼤量的ClientCredential （0000000000000000）请求来进⾏验证（如图6- 所示），直⾄服务器那端计算出来的密⽂hash也全是0，就可认 证通过，如图6- 所示

图6- 发送⼤量ClientCredential