信息搜集

在进行后续分析之前，需要了解RDP的基础知识，否则会很困难。这部分在微软官网都有资料，我就不废话了。毕竟阅读文档也是一项技能啊，需要练。

如果RDP服务器开启了Smart Card登录功能，用户就可以使用Smart Card进行RDP登录。

在向用户展示登录终端之前，服务器会使用MS-RDPEFS协议建立一个Smart Card Redirection。RDP服务器检查重定向的加密服务提供程序（CSP）内的密钥容器的句柄，如果密钥容器的句柄不存在，则应用程序调用MyCPAcquireContext（）函数。密钥容器是包含特定CSP的所有加密密钥的数据库。

1、MyCPAcquireContext()函数首先调用SCardEstablishedContext()函数创建一个smart card上下文。

2、MyCPAcquireContext()函数调用ConnectToCard()函数使用上面的上下文创建一个连接句柄。

3、MyCPAcquireContext()函数调用SCardGetStatusChangeW()函数检查device的状态。

如果card状态为SCARD_STATE_PRESENT，MyCPAcquireContext()调用DoSCardTransmit()函数发送Transmit()_Call消息进行smart card读取，包括对应的smart card device上的序列号和不同的文件。

4、调用gpkcsp!VerifyDivPIN+0x247()函数读取安全域类型文件。gpkcsp!VerifyDivPIN+0x247()函数首先选择Master File(MF)然后发送一个SELECT命令，在DataField字段中，包含安全域文件名称（(\xa0\x00\x00\x00\x18\x0f\x00\x01\x63\x00\x01）。

如果文件存在，smart card响应“\x61\xff”状态，server发送GET RESPONSE命令去读取文件。如果文件不存在，server再次发送一个SELECT命令，但是为不同的文件名称（"\x47\x54\x4f\x4b\x18"）。

如果文件存在，然后函数发送GET RESPONSE命令，LeField字段的值为0xff。此时，smart card通过Transmit_Return消息返回文件的内容。

5、Transmit_Return消息长度存在cbRecvLength字段，并且真实数据存储在pbRecvBuffer字段。MyCPAcquireContext()函数从cbRecvLength中减去7，并从ProvCont.key变量中的pbRecvBuffer中存储（cbRecvLength -7）个字节。

其中，ProvCont的结构如下：

其中ProvCont.key的长度是0x80，但是在存储pbRecvBuffer之前函数不检查（cbRecvLength -7）是否小于0x80。

如果攻击者可以模拟smart card device并在pbRecvBuffer中发送大于0x87的字节，则GET RESPONSE命令前面带有SELECT命令，文件名为“\xa0\x00\x00\x00\x18\x0f\x00\x01\x63\x00\x01”或”\x47\x54\x4f\x4b\x18“，然后就会发生堆缓冲区溢出情况。

综合以上分析，如果远程未经身份验证的攻击者可以通过模拟smart card device并将精心制作的smart card重定向消息发送到目标服务器来利用此漏洞将导致攻击者获得使用SYSTEM权限执行任意代码的能力。

检测从RDP服务器到RDP客户端的Smart Card Redirection数据包中的Transmit_Call消息：

上述为MS-RDPEFS协议初始化的数据包结构。

Device I/O请求和响应数据包在SmartCardRedirection期间进行交换，而且包含很多不同的类型，例如Device Create 请求和响应、Device Write 请求和响应、Device Control请求和响应等。而Transmit_Call消息封装在Device Control 请求包中。结构如下：

mcsPDU是可变长度“对齐”打包编码规则（PER）编码的多点通信服务（MCS）域PDU，它封装了一个MCS Send Data Indication。

1、检测设备需要具备PER（Packed Encoding Rules）解码功能，以检测mcsPDU之后的字节数据。(AF引擎不具备该功能，所以考虑其他冒险方法提取规则)。

2、检测securityHeader_flags是否被设置为SEC_ENCRYPT(0X0008)。如果该位被设置，则检测设备必须解密deviceControlData。

其结构如下:

检测工具需要检测Device Control Request，然后重点检测以下几个部分：

Component为RDPDR_CTYP_CORE(0x4472)、PacketId为 PAKID_CORE_DEVICE_IOREQUEST (0x4952)MajorFunction 为IRP_MJ_DEVICE_CONTROL (0x0000000E)、 IoControlCode 为SCARD_IOCTL_TRANSMIT ( 0x000900d0)

需要注意，以上数据需要按顺序检测，如果以上任何一个没有匹配上，检测设备就应该停止后续检测。

3、如果步骤3中的几个fields中的数据都能匹配上，检测设备需要导出并分析Device_InputBuffer字段中被编码的Transmit_Call消息。Transmit_Call消息使用了Type Serialization Version 1 进行编码，检测设备需要具备对Type Serialization Version 1的解码能力。

使用Type Serialization Version 1编码的包数据包含Common Type header，其结构如下：

Type Serialization Version 1 编码的数据使用NDR进行序列化

4、Transmit_Call的结构：

cbSendLength字段定义了pbSendBuffer字段的数据长度。检测设备必须检测这两个字段的数据。cbSendLength字段的数据需要大于5，pbSendBuffer字段需要包含以下数据：

或者

5、如果步骤5中的数据被检测到，则检测设备必须检查相同虚拟信道的后续设备控制请求，这要求mcsPDU的SendDataRequest中的ChannelID必须相同。数据包的deviceControlData字段中的IoControlCode值必须为SCARD_IOCTL_TRANSMIT。

如果找到此类数据包，则检测设备必须提取并解析Device_InputBuffer并检查Device_InputBuffer字段中的cbSendLength和pbSendBuffer。cbSendLength的值必须大于4，pbSendBuffer的值必须为\x00\xc0\x00\x00\xff。

6、步骤6检测成功后，需要检测对应的Device Control Reponse数据包。与request包只有mcsPDU和deviceControlData字段不同。

response包中的mcsPDU包含PER编码的MCS Send Data Request。MCS Send Data Request的结构如下：

deviceControlData的结构如下:

检测设备需要检查Component和PacketId字段的值是否为RDPDR_CTYP_CORE(0x4472)和PAKID_CORE_DEVICE_IOCOMPLETION(0x4943)。

如果字段值匹配，需要解析Device_OutputBuffer字段，该字段包含Type Serialization Version 1编码的Transmit_Return消息，其结构如下：

ReturnCode字段值为0（success）或者1。cbRecvLength为pbRecvBuffer字段的数据的长度。

检测设备必须检测ReturnCode是否为0和cbRecvLength是否大于0x87，如果两个都匹配，则可以怀疑存在恶意攻击流量。

本文由看雪论坛 有毒 原创

转载请注明来自看雪社区

京华结交尽奇士，意气相期矜豪纵。今夏与君相约看雪，把酒言欢，共话安全技术江湖梦。

10大议题正式公布！第三届看雪安全开发者峰会重磅来袭！