如何复原网络令牌 你学会了吗

本文将讨论我发现的两项问题，当涉及到逆转Office身份验证的过程，并提供一些不需要删除内存的POC工具来帮助恢复存储的令牌。

事实证明，Microsoft Account (MSA)的身份验证令牌处理方式与通常的Azure AD SSO帐户不同。

让我们将WinDBG附加到wlidsc并监视正在进行的RPC调用。在任何Office进程中进行身份验证之后，我们看到第一个调用是RPC方法WLIDCCreateContext以创建上下文，然后是WLIDCAcquireTokensWithNGC，最后是一系列其他调用，我们将暂时忽略这些调用。

生成的RPC存根据Windows版本的不同而不同，这是毫无价值的，例如，在Windows 10中，我们发现字段计数在输入结构上发生了变化，因此，如果你收到可怕的(0x800706F7) - The stub received bad data. 错误，请多家留意。

现在我们已经了解了如何恢复MSA，那么Azure AD呢？通过Lee Christensen的帖子知道，我们可以很容易地按需请求新令牌，但是我们在Office进程中看到的缓存令牌被转除了，它们是如何在启动时加载的呢？

让我们提供一个新的主机并将我们的用户帐户与AzureAD相关联，然后登录到Office，再通过尝试不断地找出合适的令牌以及存储的密钥的位置。

为了确保我们在正确的轨道上，让我们从内存中转储一些字符串，并确保eyJ0eX签名存在。

我们再次深入搜索dll，但这次我们将重点关注Windows.Security.Authentication.Web.Core.dll。

这是一个WinRT库，因此我们需要深入Ghidra了解正在发生的事情。在ghidra中，可以看到很多不同的功能，比如：文件管理、数据库访问、网络连接等等。下面我们一起来看看ghidra中的这些功能吧。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!