其实这里主要是OID及attrtyp的转换，可以参考官方文档，笔者这里直接复用了mimikatz相关代码，大致流程如下：
首先DRS_MSG_GETCHGREQ结构体相关生成直接利用kull_m_rpc_drsr_MakeAttid，然后域控制器返回的响应消息是一个DRS_MSG_GETCHGREPLY结构体，这里使用的是DRS_MSG_GETCHGREPLY_V6版本，根据结构体的描述，可以知道，相关信息在pObjects属性中，这是一个REPLENTINFLIST结构的表链，在mimikatz中kull_m_rpc_drsr_ProcessGetNCChangesReply对这个链表进行了遍历，最后kull_m_rpc_drsr_ProcessGetNCChangesReply_decrypt（其实就是文档的反向解密）进行RC4解密。
然后继续调用kuhl_m_lsadump_dcsync_descrObject，调用kuhl_m_lsadump_dcsync_descrUser，针对哈希，微软在使用rId对unicodepwd等进行了加密，所以最终会调用kuhl_m_lsadump_dcsync_decrypt，再利用kull_m_string_wprintf_hex打印。
当然这个过程中利用 kull_m_rpc_drsr_findMonoAttr、kull_m_rpc_drsr_findAttr、kull_m_rpc_drsr_findAttrNoOID等函数进行了数据结构相关转换读取，具体过程可以参考mimikatz源码，有点复杂…

实现效果：

漏洞分析
一般情况下调试之前我们要看下端口对应是哪些进程启动，然后给对用的进程加上远程Remote Debug选项，Websphere的远程调试直接在后台对应Application Server下面设置Remote Debug就可（2809的端口以及其它几个端口PID都一样），Websphere之前没有针对性的看过，根据官方的描述我们直接将断点打在com.ibm.ws.Transaction.JTS.TxServerInterceptor#receive_request上，然后用IIOP客户端直接连接，触发断点之后，就可以在堆栈里面看到完整请求的触发路径。

由于前面有一堆的read*操作在demarshalContext函数中，那么我们可以看下对应marshalContext函数是怎么把对象序列化并且包装发出去的

这里WSIFPort_EJB对象在反序列化的时候回去调用一个对象fieldEjbObject，这个对象的构造稍微麻烦点，我是直接重写了com.ibm.ejs.container.EJSWrapper#getHandle函数，这样所有的构造都有可以在这里面进行，后面会讲到如何进行构造，到目前我们可以进行到反序列化的点，整体的调用链如下（主要是前面提到的inputStream.read_any()到最后调用的函数）

到这里不由得让我们想起了之前那个RMIBYPASS的场景https://www.veracode.com/blog/research/exploiting-jndi-injections-java ，倒着我们就可以自定义一个RMI服务，将bind的内容设置成我们可以控制的org.apache.wsif.naming.WSIFServiceStubRef类型，就可以到最下面的函数，为什么上面那个org.apache.wsif.naming.WSIFServiceRef不行，因为前面提到了这个类必须要是EJBHOME的实现类，上面的明显不符合要求，下面的是通过动态代理来生成一个指定接口的类，而且接口的类型我们也可以控制，所以接下来就是如何利用wsif服务来进行代码执行了。

这里ctx.lookup里面的jndi的地址可以设置为自定义rmi的服务，具体的RMI服务代码如下