Décrypter les cookies Commerce Server 2002

#20   2/6/2010 12:43 PM

Comment décrypter le contenu des cookies MSCSAuth Commerce Server 2002 sans l'avoir installé.

Voici ce que contiennent ces cookies : 983XXXXCC620F5E6D8FDEXXX29663AF16BE900XXXC8589115C7DE7XXX8570FF8C04B2B2EXXXX428DCB0F92A2292.....

C'est bien sûr encrypté avec la clef que l'on peut trouver dans la configuration : Encryption Key for Cookie Data

configuration cs

Ce qu'il faut savoir c'est qu'un filtre ISAPI fait le travail d'authentification c'est mscsauth.dll qui est placé dans les filtres au niveau de IIS.

Donc on va chercher dans cette dll comment ils font :)

Pour cela on démarre avec une piste, on sait que GetUserIdFromCookie(...) va forcement faire le travaille de décryptage avant de nous répondre.

Décompilons (j'ai utilisé PE Explorer en version d'évaluation)

Cliquez sur les images pour y voir clair.

mini cs1

Nous voici arrivés sur la fonction GetUserIdFromCookie(...), cherchons ce qu'il s'y passe d'intéressant.

Plus bas on découvre :

mini cs2

Un appel à DecryptData(...), c'est exactement ce que l'on cherche.

mini cs3

A l'intérieur de DecryptData(...), qu'est ce qu'on découvre ?

Un appel à CryptAcquireContextW(...) de la dll ADVAPI32.dll, c'est la DLL de base des fonctions de crypto.

A l'adresse 0x1000FC65 on colle un pointeur sur la fonction dans le registre edi, que l'on appel ensuite à l'adresse 0x1000FC7A, entre ces deux adresses on empile les arguments.

le premier argument empilé, donc le dernier de la fonction c'est

  • CRYPT_VERIFYCONTEXT = 0xF0000000
  • ensuite c'est le type de provider PROV_RSA_FULL = 1, suivi du nom du provider MS_DEF_PROV = "Microsoft Base Cryptographic Provider v1.0"
  • Les arguments suivants sont moins évidents, il y a un push eax à l'adresse 0x1000FC78, plus haut on voit que eax est mis à 0x0 via la ligne xor eax,eax, adresse 0x1000FC53.
  • Le dernier est notre pointeur sur le provider qui sera initialisé.


Avec tout ça on a juste un CryptoServiceProvider, voyons la suite.

mini cs4

Ici on continue dans la même fonction et on trouve un appel à la fonction HrImportSessionKey, allons voir :



Ce listing n'a pas vraiment d'intérêt sauf le petit jump à l'adresse : 0x1000FEC9

mini cs8

Ce jump nous mène à une routine qui fait appel a la fonction New_GenerateSessionKeyFromPassword, c'est dans cette fonction que va se passer tout le gros du travail.

mini cs9

On y retrouve toutes les fonctions intéressantes de la cryptoAPI : CryptCreateHash, CryptHashData, CryptDeriveKey.

L'appel à CryptCreateHash prends en paramètre (comme d'habitude les derniers sont les premiers) : 

  • push eax, un pointeur qui nous sera rempli avec le hash crée
  • ensuite push edi qui est mis a 0x0 via un xor que je vous laisse trouver vous même, c'est un flag non utilisé (uint dwFlags)
  • encore push edi cette fois ci c'est notre paramètre hKey, qui n'est pas utilisé dans notre cas
  • ensuite push 00008004h, qui corresponds à un algo de cryptage (différents algo de cryptage)
  • pour finir notre pointeur sur le provider que l'on a déjà initialisé plus haut.


L'appel suivant CryptHashData

  • push edi qui vaut toujours 0x0
  • push 00000010h qui est notre longueur en byte de la clef (uint dwDataLen)
  • push eax qui est le tableau de byte de notre clef (celle que l'on a trouvé dans la configuration)
  • push [ebp-04h] qui est le hash crée précédement


L'appel suivant CryptDeriveKey

  • push [ebp+08h] est notre pointeur sur la clef qui sera générée par l'appel
  • push edi qui encore 0x0
  • push [ebp-04h] qui est notre hash
  • push 00006602h encore un algo de cryptage (différents algo de cryptage)
  • le dernier push est notre provider

Avec tout ce travail on ne va garder que la clef donc notre [ebp+08h], le reste c'est poubelle c'est pour ça qu'on voit un appel a CryptDestroyHash que je ne vais pas expliquer.
On remonte là d'oû on est parti, c'est a dire au moment ou l'on trouve l'appel a HrImportSessionKey, un peu plus bas on découvre des appels à CryptDecrypt, enfin.

mini cs5



Les appel a CryptDecrypt prennent en paramètres :
  • la longueur des données cryptées à traiter, cette valeur sera écrasée avec la longueur des données décryptés.
  • les fameuses données chiffrées que l'on a recuperées dans le cookie MSCSAuth, les données décryptées seront placées ici puisque leur longueur est forcement plus courte que la version cryptées ça rentre.
  • une valeur de dwFlags qui est encore 00000000h
  • un flag permettant de dire si c'est le dernier block de données à décrypter on met 1 puisque l'on passe le cookie au complet (00000001h).
  • le pointeur sur le hash pour les algo qui l'utilisent, nous non donc 00000000h
  • le pointeur sur la clef dérivée plus haut

Vous trouverez ici le code c# qui permet de le faire en utilisant les pInvoke sur ADVAPI32.dll

Si vous avec l'équivalent en pur c# sans pInvoke je suis preneur.

Categories : Code
Tags : .Net 2.0, ADVAPI32.dll, Commerce Server 2002

Commentaires

Créer un commentaire

Back to List

February, 2012
SMTWTFS
   1234
567891011
12131415161718
19202122232425
26272829   

Categories

Tags

Liens externes: