NetExec项目中WinRM协议哈希认证异常的深度解析

问题现象

在NetExec工具的最新版本中，用户报告了一个关于WinRM协议认证的异常问题。当使用哈希认证方式（NTLM哈希）连接Windows远程管理服务时，工具会抛出"zip() argument 2 is longer than argument 1"错误，导致命令执行失败。值得注意的是，使用密码认证方式则工作正常，同时SMB协议无论使用密码还是哈希都能正常工作。

问题复现

该问题可以通过以下命令复现：

netexec winrm 192.168.91.131 -u administrator -H AF654FBBBD3295665573F09438820D57 --debug

从调试日志中可以看到，虽然认证过程本身成功完成（显示"Pwn3d!"标志），但在后续处理阶段出现了异常。

技术分析

根本原因

经过深入分析，发现问题根源在于数据库查询结果的处理方式。在winrm/database.py文件的第211行，代码原本直接使用了db_execute()返回的游标对象，而没有调用.all()方法获取完整结果集。这导致后续的zip()操作时，两个参数长度不一致。

问题表现细节

1. 认证流程：NTLM认证过程本身是成功的，工具能够正确识别目标系统为Windows Server 2022，并确认管理员权限
2. 数据库交互：问题出现在认证成功后的数据库操作阶段
3. 异常触发点：当尝试将主机信息与用户凭证信息进行zip操作时，由于一方是完整列表而另一方是游标对象，导致长度不匹配

解决方案验证

测试验证了两种处理方式：

1. 错误方式：直接使用游标对象

   users = self.db_execute(cred_q)
   

   结果：触发zip()参数长度错误

2. 正确方式：使用.all()获取完整结果集

   users = self.db_execute(cred_q).all()
   

   结果：操作正常完成

技术背景

WinRM协议工作原理

Windows远程管理(WinRM)是微软实现的WS-Management协议，允许远程系统管理。NetExec通过NTLM认证与WinRM服务交互，支持哈希传递攻击(PTH)技术。

SQLAlchemy游标特性

在底层实现中，数据库查询返回的是游标对象而非即时结果集。这种延迟加载机制虽然提高了性能，但需要开发者显式调用.all()等方法来获取完整数据。

修复方案

该问题的修复相对简单，只需确保在数据库查询后调用.all()方法获取完整结果集。这种修改：

1. 保持了原有功能完整性
2. 解决了异常问题
3. 不影响其他协议的正常工作
4. 对性能影响可以忽略不计

总结

这个案例展示了在安全工具开发中，即使是看似简单的数据库交互细节也可能导致功能异常。NetExec团队通过详细的日志分析和测试验证，快速定位并解决了这个影响WinRM协议哈希认证的问题。对于安全研究人员而言，理解工具底层工作原理有助于更有效地使用和调试安全工具。

该修复已合并到主分支，用户更新到最新版本即可解决此问题。这再次体现了开源社区协作解决技术问题的高效性。