Comment décrypter le contenu des cookies MSCSAuth Commerce Server 2002 sans l'avoir installé.

Voici ce que contiennent ces cookies : 983XXXXCC620F5E6D8FDEXXX29663AF16BE900XXXC8589115C7DE7XXX8570FF8C04B2B2EXXXX428DCB0F92A2292.....

C'est bien sûr encrypté avec la clef que l'on peut trouver dans la configuration : Encryption Key for Cookie Data



Ce qu'il faut savoir c'est qu'un filtre ISAPI fait le travail d'authentification c'est mscsauth.dll qui est placé dans les filtres au niveau de IIS.

Donc on va chercher dans cette dll comment ils font :)

Pour cela on démarre avec une piste, on sait que GetUserIdFromCookie(...) va forcement faire le travaille de décryptage avant de nous répondre.

Décompilons (j'ai utilisé PE Explorer en version d'évaluation)

Cliquez sur les images pour y voir clair.



Nous voici arrivés sur la fonction GetUserIdFromCookie(...), cherchons ce qu'il s'y passe d'intéressant.

Plus bas on découvre :



Un appel à DecryptData(...), c'est exactement ce que l'on cherche.



A l'intérieur de DecryptData(...), qu'est ce qu'on découvre ?

Un appel à CryptAcquireContextW(...) de la dll ADVAPI32.dll, c'est la DLL de base des fonctions de crypto.

A l'adresse 0x1000FC65 on colle un pointeur sur la fonction dans le registre edi, que l'on appel ensuite à l'adresse 0x1000FC7A, entre ces deux adresses on empile les arguments.

le premier argument empilé, donc le dernier de la fonction c'est

• CRYPT_VERIFYCONTEXT = 0xF0000000

• ensuite c'est le type de provider PROV_RSA_FULL = 1, suivi du nom du provider MS_DEF_PROV = "Microsoft Base Cryptographic Provider v1.0"

• Les arguments suivants sont moins évidents, il y a un push eax à l'adresse 0x1000FC78, plus haut on voit que eax est mis à 0x0 via la ligne xor eax,eax, adresse 0x1000FC53.

• Le dernier est notre pointeur sur le provider qui sera initialisé.

Avec tout ça on a juste un CryptoServiceProvider, voyons la suite.



Ici on continue dans la même fonction et on trouve un appel à la fonction HrImportSessionKey, allons voir :



Ce listing n'a pas vraiment d'intérêt sauf le petit jump à l'adresse : 0x1000FEC9



Ce jump nous mène à une routine qui fait appel a la fonction New_GenerateSessionKeyFromPassword, c'est dans cette fonction que va se passer tout le gros du travail.



On y retrouve toutes les fonctions intéressantes de la cryptoAPI : CryptCreateHash, CryptHashData, CryptDeriveKey.

L'appel à CryptCreateHash prends en paramètre (comme d'habitude les derniers sont les premiers) : 

• push eax, un pointeur qui nous sera rempli avec le hash crée
• ensuite push edi qui est mis a 0x0 via un xor que je vous laisse trouver vous même, c'est un flag non utilisé (uint dwFlags)
  
• encore push edi cette fois ci c'est notre paramètre hKey, qui n'est pas utilisé dans notre cas
• ensuite push 00008004h, qui corresponds à un algo de cryptage (différents algo de cryptage)
• pour finir notre pointeur sur le provider que l'on a déjà initialisé plus haut.

L'appel suivant CryptHashData

• push edi qui vaut toujours 0x0
• push 00000010h qui est notre longueur en byte de la clef (uint dwDataLen)
• push eax qui est le tableau de byte de notre clef (celle que l'on a trouvé dans la configuration)
• push [ebp-04h] qui est le hash crée précédement

L'appel suivant CryptDeriveKey

• push [ebp+08h] est notre pointeur sur la clef qui sera générée par l'appel
• push edi qui encore 0x0
• push [ebp-04h] qui est notre hash
• push 00006602h encore un algo de cryptage (différents algo de cryptage)
• le dernier push est notre provider

Je travaille depuis mai 2009 pour l'Agence France Presse au sein de l'équipe du projet ImageForum , le projet ImageForum permet aux clients de disposer d'une base d'images et de graphiques temps réels enrichie chaque jour de plus de 5000 photos sur une base de 10 millions de documents regroupant les archives de l'AFP et d'autres partenaires.

Je travaille principalement sur l'intégration du nouveau moteur de recherche Exalead, l'alimentation du moteur avec les documents de l'AFP, les tests de charges, l'API de recherche, et MdfAPI qui est le projet qui permet aux clients et partenaires d'intégrer la recherche et le téléchargement dans leur plateforme.

Suite a mon entrée chez MCNEXT, j'ai intégré Dexia dans le service SNI (systèmes de notation internes).

Dans une équipe de 4 à 5 personnes consacrée au développement d'un système de notation basé sur des données comptables et autres ratios.

C'est un métier assez complexe et nous avons du nous limiter à certains choix techniques et logiciels (utilisation de IE6, bureau CITRIX, résolution trés limitée), ce qui ne facilite pas la tâche.

Consultez mes profils LinkedIn ou Viadeo pour plus de détails.

  Ma première mission chez un client, ce fut chez vente-privee.com, une toute jeune entreprise déjà pleine de gens, mais toujours cet esprit start-up.

Un dynamisme rythmé par le flot des ventes toujours plus nombreuses, à l'image des équipes de la DSI et des autres services.

J'ai passé 1 an et demi chez vente-privee.com et ce n'est pas du temps perdu bien au contraire.

Mon travail consistait à réécrire la partie comptabilité, les développements existant n'étaient plus adaptés au débit des factures et commandes.

Dans une équipe variant de 2 à 4 personnes, nous nous sommes lancés dans le développement de la nouvelle gestion comptable ce qui inclus l'enregistrement des écritures comptables, l'édition des factures, la gestion des remboursement et des moyens de paiement, l'établissement de bilans avec Reporting Services.

Le tout se représentait par un ensemble de services en association avec Msmq (Message Queuing), cette première version à permis d'établir un premier bilan avant de partir sur le développement d'une version 2.0 pour répondre aux nouveau besoin : la gestion multi-devises et conversion.

Cette V2 à été développée avec .Net 3.5 en utilisant WF (Workflow Foundation), la gestion des bons d'achat à aussi été remise aux goûts du jour pour satisfaire aux exigences comptables.

La gestion des bons d'achats devait être performante à cause de pics d'utilisation lié à l'ouverture des ventes, c'est un service WCF (Windows Communication Foundation) qui a été écrit pour permettre aux diverses applications de pouvoir utiliser les coupons.

Une mission avec une grande valeur ajoutée, ou j'ai démontré mon autonomie et ma faculté d'adaptation.

Consultez mes profils LinkedIn ou Viadeo pour plus de détails.

A l'issue de mon stage, j'ai de suite intégré Winwise sur un projet au forfait pour Triago, ce projet sur une équipe de 3 personnes consistait en un plugin outlook réalisé avec les VSTO(Visual studio tools for office), ce plugin permettait d'exploiter une base centralisée de clients et de prospects. Ce projet a été réalisé en 2 mois avec Visual Studio 2005, SQL Server 2005.

Pour un premier projet, j'ai eu à faire à un metier assez difficile à appréhender, Triago est spécialisé dans les placements privés, la levée de fonds etc…

Dernier stage de 6 mois effectué chez Winwise, approche du monde de l'entreprise pleine de surprises, travail varié sur differents outils internes de la société (application de planification de l'activité des consultants, déploiement du nouveau site web et du gestionnaire de contenu associé, maintenance corrective et evolutions de ces derniers).

Plongeon dans le monde Microsoft avec .net 2.0.