LDAP
O LDAP é um provedor ADSI (Active Directory Service Interfaces) - essencialmente uma API - que oferece suporte à funcionalidade de pesquisa em um Active Directory. Isso nos permite interagir com o Domain Controller e extrair informações não privilegiadas sobre os objetos no domínio.
O protótipo do caminho completo do provedor LDAP (que é necessário para realizar as consultas), segue a base do exemplo abaixo:
LDAP://HostName[:PortNumber][/DistinguishedName]Para descobrirmos qual sabermos qual o caminho do nosso AD, basta executar os comandos abaixos no Powershell:
$domainObj = [System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain()
$PDC = ($domainObj.PdcRoleOwner).Name
$SearchString = "LDAP://"
$SearchString += $PDC + "/"
$DistinguishedName = "DC=$($domainObj.Name.Replace('.', ',DC='))"
$SearchString += $DistinguishedName
$SearchStringAutenticação
O LDAP é configurado para autenticar credenciais no AD usando uma operação "BIND" para definir o estado de autenticação para uma sessão LDAP. Existem dois tipos de autenticação LDAP.
Simple Authentication= Isso inclui autenticação anônima, autenticação não autenticada e autenticação de nome de usuário/senha. Autenticação simples significa que um nome de usuário e uma senha criam uma solicitação BIND para autenticação no servidor LDAP.SASL Authentication= A estrutura Simple Authentication and Security Layer (SASL) usa outros serviços de autenticação, como Kerberos, para vincular-se ao servidor LDAP e, em seguida, usa esse serviço de autenticação (Kerberos neste exemplo) para autenticar no LDAP. O servidor LDAP usa o protocolo LDAP para enviar uma mensagem LDAP ao serviço de autorização, que inicia uma série de mensagens de desafio/resposta resultando em autenticação bem-sucedida ou malsucedida. O SASL pode fornecer segurança adicional devido à separação dos métodos de autenticação dos protocolos de aplicação.
As mensagens de autenticação LDAP são enviadas em texto simples por padrão para que qualquer pessoa possa detectar mensagens LDAP na rede interna. Recomenda-se usar criptografia TLS (LDAPS - Porta 636) ou similar para proteger essas informações em trânsito.
Enumeração
LDP
Abra o ldp, vá na aba Connection > connect e digite o IP do servidor AD. A porta por padrão vem a 389 (LDAP), mas se quiser pode também utilizar a porta 3268 para pegar o Global Catalog do AD.
Depois de estabelecer uma conexão, você pode conectar com alguma conta de usuário em Connection > Bind.
Agora que já tem uma sessão LDAP autenticada, vá na aba View > Tree e digite a DN. Ex.: Se o domínio for "alvo.com", digite: dc=alvo,dc=com. Observe que agora há uma "árvore" no lado esquedo com o nome da pesquisa que acabou de fazer. Vá na árvore e expanda em CN=Users, CN=Builtin e CN=Computers para ver todos os usuários, grupos do AD e Computadores.
OBS.: Talvez também seja possível realizar autenticação com o usuário Guest (Convidado).
Python
Enumeração LDAP Anônimo
LDAPFilter (Windows)
Operadores
"
`"
'
\'
NUL
\00
\
\5c
*
\2a
(
/28
)
/29
/
/2f
Pegando informações sobre determinado usuários
Procurando por grupos do AD
Retorna todas as contas de usuário desabilitadas administrativamente ou ACCOUNTDISABLE
Procurando por todos os computadores do AD
Procurando por todos os grupos do AD
Verificando quais grupos um determinado usuário é membro
Pegando todos os usuários que possui algum conteúdo no campo Description. Muitos administradores deixam senhas anotadas nesses campo
Localizando todos os usuários e computadores que são marcados Trusted for Delegation (confiáveis para delegação) ou delagação irrestrita
Procurando todos os usuários com o atributo adminCount definido como 1, cujo atributo useraccountcontrol esteja definido com o sinalizador "PASSWD_NOTREQD". Isso significa que a conta pode ter uma senha em branco
Vendo todos os grupos que um usuários pertence, incluindo grupos aninhados. Isso também pode ser útil para pesquisar em qual grupo, um determinado grupo está aninhado. O campo DistinguishedName irá mostrar o nome do grupo que ele está aninhado.
Pegando todas as OUs
UAC (User Account Control)
ADSI
Pegando path LDAP de objetos do AD
LDAPSearch (Linux)
Pegando o DC's
Enumeração Geral
Enumerando todas as informações
Enumeração LDAP Anônimo
Enumerando usuários
Enumerando pessoas
Enumerando sAMAccount
Pegando todos os Domain Admins
ldapsearch -LLL -x -H ldap://<domain.com> -b '' -s base '(objectclass=*)'
EXPLICAÇÃO:
-LLL = Retorna somente o necesśario -x = Tenta realizar autenticação anônima (Simple Authentication) -b = Utiliza a Base DN para pesquisa
Caso possua a senha para realizar uma conexão do tipo bind, utilize o seguinte comando:
Pesquisa pelo Search Base (entrada dentro do DIT) e Scope, que pode retornar senhas em base64.
WindapSearch
Windapsearch é um script Python usado para realizar a enumeração LDAP anônima e autenticada de usuários, grupos e computadores do AD usando consultas LDAP.
Enumeração LDAP Anônimo
Pegando todos os usuários do AD
Pegando todos os usuários com Delegação Irrestrita
Pegando todos os computadores do AD
Enumerando Domain Admin
LdapSearch-AD.py
Enumeração completa
Enumerando usuários
Enumerando políticas de senha
Possíveis usuários vulneráveis a Kerberoasting
Usuários que podem estar vulneráveis a ASREPRoasted
NMAP
Diferente do resultado do ldapsearch, o nmap já decodifica a senha base64.
Brute Force
ldap_search
nmap
Sites
Last updated