Fix an issue with the UserProperties structure #281

cdelafuente-r7 · 2024-11-29T16:53:44Z

The last changes of the SAMR DCERPC structures introduced an unexpected bug in the UserProperties structure when instantiating a new object. This PR fixes the issue, but it is still a workaround, there might be a simpler solution.

Without this fix

> pry -r ruby_smb
[1] pry(main)> RubySMB::Dcerpc::Samr::UserProperties.new
<it crashes pry with a giant stacktrace>

With this fix

pry -r ruby_smb
[1] pry(main)> RubySMB::Dcerpc::Samr::UserProperties.new
=> {:reserved1=>0,
 :struct_length=>99,
 :reserved2=>0,
 :reserved3=>0,
 :reserved4=>
  "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00",
 :property_signature=>80,
 :reserved5=>0}

Scenarios

It has been tested locally with pry to make sure it follows the rules defined in the MS doc:

Instantiation and adding/removing UserProperty entries:

[3] pry(main)> ups = RubySMB::Dcerpc::Samr::UserProperties.new
=> {:reserved1=>0,
 :struct_length=>99,
 :reserved2=>0,
 :reserved3=>0,
 :reserved4=>
  "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00",
 :property_signature=>80,
 :reserved5=>0}
[4] pry(main)> userprop1 = RubySMB::Dcerpc::Samr::UserProperty.new({property_name:"h", property_value:"b"})
=> {:name_length=>2, :value_length=>1, :reserved=>0, :property_name=>"h", :property_value=>"b"}
[5] pry(main)> ups.user_properties << userprop1
=> [{:name_length=>2, :value_length=>1, :reserved=>0, :property_name=>"h", :property_value=>"b"}]
[6] pry(main)> ups
=> {:reserved1=>0,
 :struct_length=>110,
 :reserved2=>0,
 :reserved3=>0,
 :reserved4=>
  "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00",
 :property_signature=>80,
 :property_count=>1,
 :user_properties=>[{:name_length=>2, :value_length=>1, :reserved=>0, :property_name=>"h", :property_value=>"b"}],
 :reserved5=>0}
[7] pry(main)> ups.user_properties << userprop1
=> [{:name_length=>2, :value_length=>1, :reserved=>0, :property_name=>"h", :property_value=>"b"},
 {:name_length=>2, :value_length=>1, :reserved=>0, :property_name=>"h", :property_value=>"b"}]
[8] pry(main)> ups
=> {:reserved1=>0,
 :struct_length=>119,
 :reserved2=>0,
 :reserved3=>0,
 :reserved4=>
  "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00",
 :property_signature=>80,
 :property_count=>2,
 :user_properties=>
  [{:name_length=>2, :value_length=>1, :reserved=>0, :property_name=>"h", :property_value=>"b"},
   {:name_length=>2, :value_length=>1, :reserved=>0, :property_name=>"h", :property_value=>"b"}],
 :reserved5=>0}
[9] pry(main)> ups.user_properties = []
=> []
[10] pry(main)> ups
=> {:reserved1=>0,
 :struct_length=>99,
 :reserved2=>0,
 :reserved3=>0,
 :reserved4=>
  "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00",
 :property_signature=>80,
 :reserved5=>0}

Reading a binary stream:

[11] pry(main)> ups = RubySMB::Dcerpc::Samr::UserProperties.read("\x00\x00\x00\x00c\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00P\x00\x00")
=> {:reserved1=>0,
 :struct_length=>99,
 :reserved2=>0,
 :reserved3=>0,
 :reserved4=>
  "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00",
 :property_signature=>80,
 :reserved5=>0}
[12] pry(main)> ups.user_properties << userprop1
=> [{:name_length=>2, :value_length=>1, :reserved=>0, :property_name=>"h", :property_value=>"b"}]
[13] pry(main)> ups
=> {:reserved1=>0,
 :struct_length=>110,
 :reserved2=>0,
 :reserved3=>0,
 :reserved4=>
  "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00",
 :property_signature=>80,
 :property_count=>1,
 :user_properties=>[{:name_length=>2, :value_length=>1, :reserved=>0, :property_name=>"h", :property_value=>"b"}],
 :reserved5=>0}

[14] pry(main)> ups = RubySMB::Dcerpc::Samr::UserProperties.read("\x00\x00\x00\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00P\x00\x01\x00\x02\x00\x01\x00\x00\x00h\x00f\x00")
=> {:reserved1=>0,
 :struct_length=>110,
 :reserved2=>0,
 :reserved3=>0,
 :reserved4=>
  "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00",
 :property_signature=>80,
 :property_count=>1,
 :user_properties=>[{:name_length=>2, :value_length=>1, :reserved=>0, :property_name=>"h", :property_value=>"f"}],
 :reserved5=>0}

This has also been tested with the Metasploit gather/windows_secrets_dump to make sure it still fixes the original issue.

TODO

Write specs or these new structures.

smcintyre-r7

Thank you very much for making that change to #display_user_properties?. Everything looks good to me. I tested that an object can be initialized with its default state and not crash. I also tested the original PR, to ensure that issue is still resolved.
rapid7/metasploit-framework#19665

I'm going to go ahead and land this. Thanks @cdelafuente-r7

Fix issue with the UserProperties structure

b5c985c

cdelafuente-r7 added the bug label Nov 29, 2024

cdelafuente-r7 changed the title ~~Fix issue with the UserProperties structure~~ Fix an issue with the UserProperties structure Nov 29, 2024

smcintyre-r7 self-assigned this Feb 27, 2025

smcintyre-r7 added this to Metasploit Kanban Feb 27, 2025

github-project-automation bot moved this to Todo in Metasploit Kanban Feb 27, 2025

Update display_user_properties?

0f359c7

smcintyre-r7 approved these changes Mar 14, 2025

View reviewed changes

github-project-automation bot moved this from Todo to In Progress in Metasploit Kanban Mar 14, 2025

smcintyre-r7 merged commit 5390b08 into rapid7:master Mar 14, 2025
10 checks passed

github-project-automation bot moved this from In Progress to Done in Metasploit Kanban Mar 14, 2025

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Uh oh!

Fix an issue with the UserProperties structure #281

Fix an issue with the UserProperties structure #281

Uh oh!

cdelafuente-r7 commented Nov 29, 2024 •

edited

Loading

Uh oh!

smcintyre-r7 left a comment

Uh oh!

Uh oh!

Reviewers

Assignees

Labels

Projects

Milestone

Development

Uh oh!

2 participants

Fix an issue with the UserProperties structure #281

Fix an issue with the UserProperties structure #281

Uh oh!

Conversation

cdelafuente-r7 commented Nov 29, 2024 • edited Loading Uh oh! There was an error while loading. Please reload this page.

Uh oh!

Without this fix

With this fix

Scenarios

TODO

Uh oh!

smcintyre-r7 left a comment

Choose a reason for hiding this comment

Uh oh!

Uh oh!

Reviewers

Assignees

Labels

Projects

Milestone

Development

Uh oh!

2 participants

cdelafuente-r7 commented Nov 29, 2024 •

edited

Loading