域滲透之ldap協議

hu1ge(micr067)發表於2020-11-21

LDAP(Light Directory Access Protocal)是一個基於X.500標準的輕量級目錄訪問協議,LDAP是支援跨平臺的Internet協議,只需要通過LDAP做簡單的配置就可以與伺服器做認證互動。可以大大降低開發的成本。
windows Active Diretcory就是一個支援LDAP的微軟產品。

活動目錄是指域環境中提供目錄服務的元件,它用於儲存網路物件資訊(使用者、組、印表機等)。

把活動目錄理解成一個可擴充套件的,撞門為了查詢、瀏覽、搜尋優化的特殊資料庫,就像windows檔案目錄的結構一樣。目錄資料庫與MySQL這種關係型資料庫相比,具有優異的可讀性,但是可寫效能很差,而且沒有備份還原這樣的功能。

資訊收集:作業系統、許可權、使用者、ip段、殺軟、埠、程式、服務、補丁、計劃任務、共享、會話

利用LDAP進行資訊收集
前提是能夠訪問DC的389埠,且已經知道域內的一個賬號密碼,假設我們已經知道域內使用者test1的密碼時admin@123,DC的ip是192.168.190.130

1.使用ldapsearch獲取資訊
該工具只能在域環境下使用,因此一般當獲得shell後,掛socks代理,在本地進行操作查詢。
引數說明:
-x:進行簡單認證
-H:伺服器地址
-D:用來繫結伺服器的DN
-w:繫結DN的密碼
-b:指定要查詢的根節點
•獲取所有資訊
•ldapsearch.exe -x -H ldap://192.168.17.133:389 -D "CN=test1,CN=Users,DC=hacker,DC=test" -w Asdfqwer.. -b "DC=hacker,DC=test"
•查詢使用者
•ldapsearch.exe -x -H ldap://192.168.17.133:389 -D "CN=test1,CN=Users,DC=hacker,DC=test" -w Asdfqwer.. -b "DC=hacker,DC=test" "(&(objectClass=user)(objectCategory=person))" | grep ^cn
•查詢計算機名
•ldapsearch.exe -x -H ldap://192.168.17.133:389 -D "CN=test1,CN=Users,DC=hacker,DC=test" -w Asdfqwer.. -b "DC=hacker,DC=test" "(&(objectCategory=computer)(objectClass=computer))" | grep ^cn
•查詢域內組
•ldapsearch.exe -x -H ldap://192.168.17.133:389 -D "CN=test1,CN=Users,DC=hacker,DC=test" -w Asdfqwer.. -b "DC=hacker,DC=test" "(&(objectCategory=group))" | grep ^cn

2.使用PowerSploit工具搜尋資訊
•模組目錄
•$env:PSModulePath
•更改策略
•set-executionpolicy remotesigned
•載入模組
•Import-Module -name 路徑
•下載地址:
https://github.com/PowerShellMafia/PowerSploit

$uname="test1"
$pwd=ConvertTo-SecureString "Asdfqwer.." -AsPlainText -Force
$cred=New-Object System.Management.Automation.PSCredential($uname,$pwd)

•查詢使用者
Get-NetUser -Domain hacker.test -DomainController 192.168.17.133 -ADSpath "LDAP://DC=hacker,DC=test" -Credential $cred | fl cn
•查詢計算機名
Get-NetComputer -Domain hacker.test -DomainController 192.168.17.133 -ADSpath "LDAP://DC=hacker,DC=test" -Credential $cred | fl cn
•查詢域內組
Get-NetGroup -Domain hacker.test -DomainController 192.168.17.133 -ADSpath "LDAP://DC=hacker,DC=test" -Credential $cred | fl cn

3.sharpview獲取資訊
•查詢所有使用者
•SharpView.exe Get-NetUser -Domain hacker.test -Server 192.168.17.133 -Credential test1@hacker.test/Asdfqwer.. | findstr cn
•模組
•Get-DomainController
•Get-NetUser
•Get-DomainComputer

•下載地址
https://github.com/tevora-threat/SharpView

相關文章