389,636,2368,3269 - LDAP

ldapsearch

예를 들어, ldapsearch는 LDAP 프로토콜을 사용하여 디렉터리에 저장된 정보를 검색하는 데 사용되는 명령줄 유틸리티입니다. 일반적으로 LDAP 디렉토리 서비스에서 데이터를 쿼리하고 검색하는 데 사용됩니다.

옵션 설명

• -x : 익명 로그인

• -s base : 검색 범위 지정

• namingcontexts : namingcontexts는 LDAP 서버의 네임스페이스를 가져올 때 사용되는 특수한 속성입니다

  • 기본 네임 컨텍스트(namingcontexts)는 LDAP 서버에서 사용되는 데이터의 구조를 정의하는 개념, 이를 비유하자면, 기본 네임 컨텍스트는 LDAP 서버의 "최상위 폴더"라고 생각할 수 있습니다.

    LDAP 서버는 데이터를 계층 구조로 조직화합니다. 이 구조에서 기본 네임 컨텍스트는 가장 상위에 위치하며, 그 아래에는 조직, 도메인, 부서, 사용자 등의 하위 항목들이 계층적으로 구성됩니다.

    예를 들어, "dc=example,dc=com"라는 기본 네임 컨텍스트를 생각해봅시다. 여기서 "dc"는 '도메인 구성 요소(Domain Component)'를 의미하며, "example"은 도메인 이름을 나타냅니다. "dc=example,dc=com"은 LDAP 서버에 저장된 데이터의 최상위 도메인이 "example.com"임을 나타냅니다.

    기본 네임 컨텍스트를 사용하면 LDAP 서버에서 효과적으로 데이터를 검색하고 조직화할 수 있습니다. 예를 들어, 특정 기본 네임 컨텍스트에서 사용자 정보를 찾거나, 조직의 구성원을 조회하는 등의 작업을 수행할 수 있습니다.

    따라서 기본 네임 컨텍스트는 LDAP 서버의 데이터 구조를 이해하고 데이터를 효과적으로 관리하는 데 중요한 역할을 합니다.

  • 즉 namingcontexts 열거를 통해 각종 도메인 및 사용자 정보를 찾을 수 있음

• -b "DC=cascade,DC=local" : 검색 범위 지정, DC=cascade,DC=local로

ldapsearch

realblackcat@htb[/htb]$ ldapsearch -H ldap://ldap.example.com:389 -D "cn=admin,dc=example,dc=com" -w secret123 -b "ou=people,dc=example,dc=com" "(mail=john.doe@example.com)"

#단순한 예시
ldapsearch -H LDAP://10.10.10.192 -D cn=support,dc=blackfield,dc=local -w '#00^BlackKnight' -x -b 'dc=blackfield,dc=local'

이 명령은 다음과 같이 세분화할 수 있습니다:

• 포트 389에서 ldap.example.com 서버에 연결합니다.

• 비밀번호 secret123을 사용하여 cn=admin,dc=example,dc=com으로 바인딩(인증)합니다.

• 기본 DN ou=people,dc=example,dc=com으로 검색합니다.

• 필터 (mail=john.doe@example.com )를 사용하여 이 이메일 주소가 있는 항목을 찾습니다.

서버는 요청을 처리하고 다음과 같이 보이는 응답을 다시 보냅니다:

코드: ldap

dn: uid=jdoe,ou=people,dc=example,dc=com
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: person
objectClass: top
cn: John Doe
sn: Doe
uid: jdoe
mail: john.doe@example.com

result: 0 Success

이 응답에는 검색 기준과 일치하는 항목의 DN(고유 이름) 과 해당 속성 및 값이 포함됩니다.

예시

┌──(b1ackcat㉿kali)-[~/Downloads/HTB_LAB]
└─$ ldapsearch -H ldap://support.htb -x -s base namingcontexts
# extended LDIF
#
# LDAPv3
# base <> (default) with scope baseObject
# filter: (objectclass=*)
# requesting: namingcontexts 
#

#
dn:
namingcontexts: DC=support,DC=htb
namingcontexts: CN=Configuration,DC=support,DC=htb
namingcontexts: CN=Schema,CN=Configuration,DC=support,DC=htb
namingcontexts: DC=DomainDnsZones,DC=support,DC=htb
namingcontexts: DC=ForestDnsZones,DC=support,DC=htb

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1

#만약 LDAP에 익명로그인이 허용되어있다면
ldapsearch -h 10.10.10.182 -x -b "DC=support,DC=htb" > ldap-anonymous

#사람만 가지고 오고 싶다면 
ldapsearch -h 10.10.10.182 -x -b "DC=cascade,DC=local" '(objectClass=person)' > ldap-people

ldapsearch

자격 증명이 무효이거나 자격 증명이 유효한지 확인

ldapsearch -x -H ldap://<IP> -D '' -w '' -b "DC=<1_SUBDOMAIN>,DC=<TLD>"
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "DC=<1_SUBDOMAIN>,DC=<TLD>"

# CREDENTIALS NOT VALID RESPONSE
search: 2
result: 1 Operations error
text: 000004DC: LdapErr: DSID-0C090A4C, comment: In order to perform this opera
 tion a successful bind must be completed on the connection., data 0, v3839

"바인딩을 완료해야 합니다" 라는 메시지가 표시되면 자격 증명이 올바르지 않다는 뜻

다음을 사용하여 도메인에서 모든것을 추출할 수 있음

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "DC=<1_SUBDOMAIN>,DC=<TLD>"
-x Simple Authentication
-H LDAP Server
-D My User
-w My password
-b Base site, all data from here will be given

사용자 추출

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"
#Example: ldapsearch -x -H ldap://<IP> -D 'MYDOM\john' -w 'johnpassw' -b "CN=Users,DC=mydom,DC=local"

컴퓨터 추철

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Computers,DC=<1_SUBDOMAIN>,DC=<TLD>"

내 정보 추출

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=<MY NAME>,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"

도메인 관리자 추출

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Domain Admins,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"

도메인 사용자를 추출합니다:

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Domain Users,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"

엔터프라이즈 관리자를 추출합니다:

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Enterprise Admins,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"

관리자를 추출합니다:

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Administrators,CN=Builtin,DC=<1_SUBDOMAIN>,DC=<TLD>"

원격 데스크톱 그룹을 추출합니다:

ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Remote Desktop Users,CN=Builtin,DC=<1_SUBDOMAIN>,DC=<TLD>"

비밀번호에 대한 액세스 권한이 있는지 확인하려면 쿼리 중 하나를 실행한 후 grep을 사용하면 됩니다:

<ldapsearchcmd...> | grep -i -A2 -B2 "userpas"

여기에서 찾을 수 있는 비밀번호는 실제 비밀번호가 아닐 수 있습니다...