Coercer项目中WebDAV强制认证的端口参数失效问题分析

在安全研究领域，强制认证（Authentication Coercion）是一种常见的攻击手法，通过诱导目标系统向攻击者控制的服务器发起认证请求，从而获取凭证信息。近期在Coercer工具的使用过程中，发现了一个值得注意的技术问题：当通过HTTP协议进行WebDAV强制认证时，工具会忽略用户指定的HTTP端口参数。

问题现象

研究人员在使用Coercer工具执行WebDAV强制认证时，通过--http-port 8080参数明确指定了监听端口为8080。然而工具实际运行时，仍然尝试通过默认的80端口进行认证请求。从输出日志中可以清晰看到，RPC调用中硬编码了80端口：

RpcRemoteFindFirstPrinterChangeNotificationEx(pszLocalMachine='\\\\##.##.##.##@**80**/print\x00')

技术背景

这种强制认证技术通常利用Windows系统的以下机制：

1. MS-RPRN协议（打印系统远程协议）
2. WebDAV（Web分布式创作和版本控制）
3. 服务器消息块（SMB）认证转发

在理想情况下，攻击者应该能够完全控制监听端口，以适应不同的网络环境。端口灵活性对于绕过防火墙规则或避免端口冲突至关重要。

问题根源

经过代码分析，发现问题的核心在于：

1. 端口参数未正确传递到RPC调用层
2. WebDAV认证路径构建时硬编码了80端口
3. 参数验证逻辑存在缺陷，未能正确处理非标准HTTP端口

解决方案

项目维护者已经提交修复代码，主要改进包括：

1. 确保所有协议层都能获取用户指定的端口参数
2. 重构WebDAV URI生成逻辑
3. 增强参数验证机制

安全实践建议

对于安全研究人员，在使用此类工具时应注意：

1. 始终验证工具实际使用的网络参数
2. 在测试环境中先进行功能验证
3. 使用网络嗅探工具确认实际通信细节
4. 保持工具版本更新，及时获取修复补丁

这个问题提醒我们，即使是成熟的安全工具，也可能存在参数处理方面的细微缺陷。研究人员应当保持警惕，通过多种方式验证工具行为，确保测试结果的准确性。