LDAP
O LDAP é um provedor ADSI (Active Directory Service Interfaces) - essencialmente uma API - que oferece suporte à funcionalidade de pesquisa em um Active Directory. Isso nos permite interagir com o Domain Controller e extrair informações não privilegiadas sobre os objetos no domínio.
O protótipo do caminho completo do provedor LDAP (que é necessário para realizar as consultas), segue a base do exemplo abaixo:
LDAP://HostName[:PortNumber][/DistinguishedName]
Para descobrirmos qual sabermos qual o caminho do nosso AD, basta executar os comandos abaixos no Powershell:
$domainObj = [System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain()
$PDC = ($domainObj.PdcRoleOwner).Name
$SearchString = "LDAP://"
$SearchString += $PDC + "/"
$DistinguishedName = "DC=$($domainObj.Name.Replace('.', ',DC='))"
$SearchString += $DistinguishedName
$SearchString
Autenticação
O LDAP é configurado para autenticar credenciais no AD usando uma operação "BIND" para definir o estado de autenticação para uma sessão LDAP. Existem dois tipos de autenticação LDAP.
Simple Authentication
= Isso inclui autenticação anônima, autenticação não autenticada e autenticação de nome de usuário/senha. Autenticação simples significa que um nome de usuário e uma senha criam uma solicitação BIND para autenticação no servidor LDAP.SASL Authentication
= A estrutura Simple Authentication and Security Layer (SASL) usa outros serviços de autenticação, como Kerberos, para vincular-se ao servidor LDAP e, em seguida, usa esse serviço de autenticação (Kerberos neste exemplo) para autenticar no LDAP. O servidor LDAP usa o protocolo LDAP para enviar uma mensagem LDAP ao serviço de autorização, que inicia uma série de mensagens de desafio/resposta resultando em autenticação bem-sucedida ou malsucedida. O SASL pode fornecer segurança adicional devido à separação dos métodos de autenticação dos protocolos de aplicação.
As mensagens de autenticação LDAP são enviadas em texto simples por padrão para que qualquer pessoa possa detectar mensagens LDAP na rede interna. Recomenda-se usar criptografia TLS (LDAPS - Porta 636) ou similar para proteger essas informações em trânsito.
Enumeração
LDP
Abra o ldp
, vá na aba Connection > connect
e digite o IP do servidor AD. A porta por padrão vem a 389
(LDAP), mas se quiser pode também utilizar a porta 3268
para pegar o Global Catalog do AD.
Depois de estabelecer uma conexão, você pode conectar com alguma conta de usuário em Connection > Bind
.
Agora que já tem uma sessão LDAP autenticada, vá na aba View > Tree
e digite a DN
. Ex.: Se o domínio for "alvo.com", digite: dc=alvo,dc=com
. Observe que agora há uma "árvore" no lado esquedo com o nome da pesquisa que acabou de fazer. Vá na árvore e expanda em CN=Users
, CN=Builtin
e CN=Computers
para ver todos os usuários, grupos do AD e Computadores.
OBS.: Talvez também seja possível realizar autenticação com o usuário Guest (Convidado).
Python
Enumeração LDAP Anônimo
from ldap3 import *
s = Server('<ip>',get_info = ALL)
c = Connection(s, '', '')
print(s.info)
LDAPFilter (Windows)
Operadores
# AND
(& (..condition_1..) (..condition_2..))
(& (..condition_1..) (..condition_2..) (..condition_3..))
# OR
(| (..condition_1..) (..condition_2..))
(| (..condition_1..) (..condition_2..) (..condition_3..))
# AND e OR = Equivalente a (condition_1 AND condition_2) OR (condition_3 AND condition_4)
(|(& (..condition_1..) (..condition_2..))(& (..condition_3..) (..condition_4..)))
"
`"
'
\'
NUL
\00
\
\5c
*
\2a
(
/28
)
/29
/
/2f
Pegando informações sobre determinado usuários
Get-ADUser -LDAPFilter '(&(objectCategory=user)(name=<nome>))' -Properties *
Procurando por grupos do AD
Get-ADObject -LDAPFilter '(objectClass=group)'
Retorna todas as contas de usuário desabilitadas administrativamente ou ACCOUNTDISABLE
Get-ADObject -LDAPFilter '(&(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=2))'
Get-ADUser -LDAPFilter '(userAccountControl:1.2.840.113556.1.4.803:=2)' | select name
Procurando por todos os computadores do AD
# Listagem completa
Get-ADObject -LDAPFilter '(&(objectCategory=computer))'
# Somente a quantidade
Get-ADObject -LDAPFilter '(&(objectCategory=computer))' | Measure-Object | select count
Procurando por todos os grupos do AD
Get-ADObject -LDAPFilter '(&(objectCategory=group))'
Verificando quais grupos um determinado usuário é membro
Get-ADGroup -LDAPFilter '(member:1.2.840.113556.1.4.1941:=CN=<name>,OU=<ou>,DC=<domain>,DC=<local>)' | select name
Pegando todos os usuários que possui algum conteúdo no campo Description
. Muitos administradores deixam senhas anotadas nesses campo
Get-ADUser -Properties * -LDAPFilter '(&(objectCategory=user)(description=*))' | select samaccountname,description
Localizando todos os usuários e computadores que são marcados Trusted for Delegation
(confiáveis para delegação) ou delagação irrestrita
Get-ADUser -Properties * -LDAPFilter '(userAccountControl:1.2.840.113556.1.4.803:=524288)' | select Name,memberof, servicePrincipalName,TrustedForDelegation | fl
Get-ADComputer -Properties * -LDAPFilter '(userAccountControl:1.2.840.113556.1.4.803:=524288)' | select DistinguishedName,servicePrincipalName,TrustedForDelegation | fl
Procurando todos os usuários com o atributo adminCount
definido como 1
, cujo atributo useraccountcontrol
esteja definido com o sinalizador "PASSWD_NOTREQD". Isso significa que a conta pode ter uma senha em branco
Get-AdUser -LDAPFilter '(&(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=32))(adminCount=1)' -Properties * | select name,memberof | fl
Vendo todos os grupos que um usuários pertence, incluindo grupos aninhados. Isso também pode ser útil para pesquisar em qual grupo, um determinado grupo está aninhado. O campo DistinguishedName
irá mostrar o nome do grupo que ele está aninhado.
Get-ADGroup -Filter 'member -RecursiveMatch "CN=<user>,OU=<ou>,DC=<domain>,DC=<local>"' | select name
Get-ADGroup -LDAPFilter '(member:1.2.840.113556.1.4.1941:=CN=<user>,OU=<ou>,DC=<domain>,DC=<local>)' | select Name
# Pegando informações sobre qual o grupo, que determinado grupo está aninhado
Get-ADGroup -Filter 'member -RecursiveMatch "CN=<name>,OU=<ou>,DC=<domain>,DC=<local>"' | select name
# Pegando nome de grupos que estão aninhados a um determinado grupo
Get-ADGroup -Filter 'memberof -RecursiveMatch "CN=<name>,CN=<name>,DC=<domain>,DC=<local>"'
# Pegando o nome de um usuário que está em um determinado grupo, através de um anihamento
Get-ADUser -Filter 'memberof -RecursiveMatch "CN=<name>,CN=<name>,DC=<domain>,DC=<local>"'
Pegando todas as OUs
Get-ADOrganizationalUnit -Filter * | select name,DistinguishedName
UAC (User Account Control)
Get-DomainUser * -AdminCount | select samaccountname,useraccountcontrol
ADSI
Pegando path LDAP de objetos do AD
# Usuários
([adsisearcher]"(&(objectClass=User))").FindAll() | select Path
# Grupos
([adsisearcher]"(&(objectClass=Group))").FindAll() | select Path
# Computadores
([adsisearcher]"(&(objectClass=Computer))").FindAll() | select Path
LDAPSearch (Linux)
Pegando o DC's
ldapsearch -H ldap://<ip>:389 -x
ldapsearch -H ldap://<ip>:389 -x -s base namingcontexts
Enumeração Geral
ldapsearch -LLL -x -H ldap://<domain.com> -b '' -s base '(objectclass=*)'
Enumerando todas as informações
ldapsearch -H ldap://<ip_dc>:389 -x -b "DC=<domain>,DC=<local>"
Enumeração LDAP Anônimo
ldapsearch -H ldap://<ip_dc>:389 -x -b "dc=<domain>,dc=<local>"
ldapsearch -x -H ldap://<ip_dc>:389 -s sub -b 'DC=<domain>,DC=<local>'
ldapsearch -x -H ldap://<ip_dc> -s sub -b 'DC=<domain>,DC=<local>'
Enumerando usuários
ldapsearch -H ldap://<ip_dc>:389 -x -b "DC=<domain>,DC=<local>" '(objectClass=User)' sAMAccountName | grep sAMAccountName
ldapsearch -x -H ldap://<ip_dc>:389 -b 'dc=<domain>,dc=<com>' "(&(objectClass=user))"
Enumerando pessoas
ldapsearch -H ldap://<ip_dc>:389 -x -b "DC=<domain>,DC=<local>" '(objectClass=Person)'
Enumerando sAMAccount
ldapsearch -H ldap://<ip_dc>:389 -x -b "DC=<domain>,DC=<local>" '(objectClass=Person)' sAMAccountName
Pegando todos os Domain Admins
ldapsearch -H ldap://<ip_dc>:389 -x -LLL -w <pass> -D '<CN=user,OU=users,DC=domain,DC=local>' -b "<dc=domain,dc=local>" '(memberOf=cn=Domain Admins,cn=Users,<dc=domain,dc=local>)' cn
ldapsearch -LLL -x -H ldap://<domain.com> -b '' -s base '(objectclass=*)'
EXPLICAÇÃO:
-LLL = Retorna somente o necesśario -x = Tenta realizar autenticação anônima (Simple Authentication) -b = Utiliza a Base DN para pesquisa
Caso possua a senha para realizar uma conexão do tipo bind
, utilize o seguinte comando:
ldapsearch -H ldap://<ip> -x -D "cn=<admin>,dc=<domain>,dc=<com>" -W
Pesquisa pelo Search Base (entrada dentro do DIT) e Scope, que pode retornar senhas em base64.
ldapsearch -H ldap://<ip> -x -D "cn=<admin>,dc=<domain>,dc=<com>" -w <password> -b "dc=<domain>,dc=<com>"
WindapSearch
Windapsearch é um script Python usado para realizar a enumeração LDAP anônima e autenticada de usuários, grupos e computadores do AD usando consultas LDAP.
Enumeração LDAP Anônimo
python3 windapsearch.py --dc-ip <ip> -u "" --functionality
Pegando todos os usuários do AD
python3 windapsearch.py --dc-ip <ip> -d <domain.local> -u <domain>\\<user> -U --attrs '*'
python3 windapsearch.py --dc-ip <ip> -u "" -U
Pegando todos os usuários com Delegação Irrestrita
python3 windapsearch.py --dc-ip <ip> -d <domain.local> -u <domain>\\<user> --unconstrained-users
python3 windapsearch.py --dc-ip <ip> -u "" --unconstrained-users
Pegando todos os computadores do AD
python3 windapsearch.py --dc-ip <ip> -u "" -C
Enumerando Domain Admin
# Utilize somente o <domain>, não o "<domain.local>"
python3 windapsearch.py --dc-ip <ip> -u <domain>\\<user> --da
LdapSearch-AD.py
python3 ldapsearch-ad.py -l <ip> -t info
Enumeração completa
python3 ldapsearch-ad.py -l <ip> -d <domain> -u <user> -p <pass> -t all
Enumerando usuários
python3 ldapsearch-ad.py -l <ip> -d <domain.local> -u <user> -p '<pass>' -t show-user -s '(samaccountname=*)'
Enumerando políticas de senha
python3 ldapsearch-ad.py -l <ip> -d <domain> -u <user> -p <pass> -t pass-pols
Possíveis usuários vulneráveis a Kerberoasting
python3 ldapsearch-ad.py -l <ip> -d <domain> -u <user> -p <pass> -t kerberoast | grep servicePrincipalName:
Usuários que podem estar vulneráveis a ASREPRoasted
python3 ldapsearch-ad.py -l <ip> -d <domain> -u <user> -p <pass> -t asreproast
NMAP
Diferente do resultado do ldapsearch
, o nmap já decodifica a senha base64.
nmap --script ldap-search --script-args 'ldap.username="cn=<admin>,dc=<domain>,dc=<local>",ldap.password="<password>"' <ip> -p 389
Brute Force
ldap_search
python3 ldap_search.py -u <user> -p <wordlist.txt> -d <domain.local> -s <dc.domain.local>
nmap
nmap -p 389 --script ldap-brute --script-args ldap.base='"cn=users,dc=<domain>,dc=<local>"' <host>
Sites
# LDAP queries relacionadas a computadores do AD
https://ldapwiki.com/wiki/Active%20Directory%20Computer%20Related%20LDAP%20Query
# LDAP queries relacionadas a usuários do AD
https://ldapwiki.com/wiki/Active%20Directory%20User%20Related%20Searches
# LDAP queries relacionadas a grupos do AD
https://ldapwiki.com/wiki/Active%20Directory%20Group%20Related%20Searches
# LdapSearch
https://linux.die.net/man/1/ldapsearch
# WindapSearch
https://github.com/ropnop/windapsearch
# LdapSearch-AD.py
https://github.com/yaap7/ldapsearch-ad
Last updated
Was this helpful?