LDAP 注入与防御

电玩女神 2022-01-26 09:01 848阅读 0赞

## **0x00：介绍** ##

LDAP 全英文：Lightweight Directory Access Protocol，翻译过来就是轻量级的目录访问协议。其实就是访问目录，浏览目录。有很多企业存储一些数据信息，例如部门信息，部门里成员的信息，公司的可用设备信息等，这些信息单独放在类似于网站的那种数据库中的话，会显的有点大材小用，而把它们放在目录中，文本中最合适。好比在文档中搜索指定的内容，在目录中搜索指定的文件一样。

LDAP 也有自己指定的语法，也可理解为它是一个存储信息的数据库，为了搜索方便，很多网站提供了其查询的接口，和普通的搜索框无异，对于指定的搜索内容，在没有严格过滤的情况下，便可以造成 LDAP 注入。

## **0x01：语法** ##

了解 LDAP 语法之前，应该先了解下它的目录树结构，LDAP 目录是以树状的层次结构来存储数据的，如下图所示。

![请输入图片描述][format_png]

dn 表示一条记录所处的位置。dc 表示一条记录所属的区域。ou 代表一条记录所属的组织。cn 表示一条记录的名字。这些理解起来也很容易，LDAP 就好比我们程序用的关系型数据库，关系型数据库我们一般用数据库名称、表名、行来定位一条数据记录，而 LDAP 首先要说明是哪一棵树 (dc)，然后是从树根到目标所经过的所有分叉 (ou)，最后就是目标的名字 (cn)。

了解 LDAP 的目录结构后，我们来简单看下语法，也就是用指定的语法在 LDAP 目录结构中查找指定的数据。

=：等于的作用，例如查找 Name 等于 weiketang 的对象：

(Name=weiketang)

&：多条件满足查询，例如 Name 等于 weiketang 的，同时性别为男的，这里用 1 表示：

(&(Name=weiketang)(sex=1))

|：或查询，例如 Name 等于 weiketang，或性别为男的：

(!(Name=weiketang)(sex=1))

!：非查询，用来排除对象，例如 Name 不等于 weiketang 的：

(!Name=weiketang)

\*：星号代表通配符，可表示任何内容，例如查询 Name 有内容的，相当于不为空，基本上是查询所有：

(Name=*)

以上就是常用的语法，可相互结合使用，例如姓名以 wei 开头的：(Name=wei*)，再例如姓名以 wei 开头的，且家住北京或者上海的：(&(Name=wei*)(|(addr=beijing)(addr=shanghai))).

## **0x02：环境** ##

LDAP 环境不像 SQL 那么多，这里就简单的搭建一个做示例方便点，下载 OpenLDAP 后进行安装，默认一直下一步即可，安装好 OpenLDAP 后，可以使用 LDAP Admin 连接测试一下，然后新建几条记录，如下图。

![请输入图片描述][format_png 1]

这里结合上文中说的 LDAP 目录结构可以看一下，dn 树根就是 dc=maxcrc,dc=com，命名时一般都是域名来命名的，ou 是组织单元，这里是开发部分，最后具体的记录数据是 cn，也叫 uid，也就是用户以及用户的信息。

我们用 LDAP Admin 来进行一下简单的搜索，即姓名包含 lu 关键字的，如下图。

![请输入图片描述][format_png 2]

可以看到其搜索语句为 (|(uid=*lu*)(displayName=*lu*)(cn=*lu*)(sn=*lu*))，也就是多个或的意思。

## **0x03：bwapp** ##

然后我们使用 bwapp 自带的 ldap 练习平台来做示例，首先需要填入相应的连接信息，连接的 php 文件是 ldap\_connect.php，我们可以简单看一下文件的内容。

$message = "";
 $login = "bee@bwapp.local";
 $password = "";
 $server = "";
 $dn = "DC=bwapp,DC=local";
 
 if(isset($_REQUEST["clear"])){
 // Clears the LDAP settings
 $_SESSION["ldap"] = array();
 $message = "Settings cleared successfully!"; 
 }
 
 if(isset($_REQUEST["set"]) && isset($_REQUEST["login"]) && isset($_REQUEST["password"]) && isset($_REQUEST["server"]) && isset($_REQUEST["dn"])) 
 { 
 // LDAP connection settings
 $login = $_REQUEST["login"];
 $password = $_REQUEST["password"];
 $server = $_REQUEST["server"];
 $dn = $_REQUEST["dn"];
 
 if($login == "" || $password == "" || $server == "" || $dn == ""){
 $message = "Please enter all fields!"; 
 }else{ 
 // Connects and binds to the LDAP server
 $ds = ldap_connect($server);
 ldap_set_option($ds, LDAP_OPT_PROTOCOL_VERSION, 3);// Sets the LDAP protocol used by the AD service
 ldap_set_option($ds, LDAP_OPT_REFERRALS, 0);
 $r = @ldap_bind($ds, $login, $password);
 // $r = @ldap_bind($ds, $domain . "\\" . $login, $password);// Pre-Windows 2000 username
 // $r = @ldap_bind($ds);// Anonymous login. Needs some adjustments in AD!
 
 // Debugging
 // Prints TRUE if the credentials are valid
 // print_r($r);
 
 if(!$r){ 
 $message = "Invalid credentials or invalid server!";
 }else{
 $filter = "(cn=*)"; 
 
 // Checks if the base DN has a valid syntax
 if(!($search=@ldap_search($ds, $dn, $filter))){
 $message = "Base DN invalid syntax!"; 
 }else{
 
 // Checks if the base DN is valid
 $number_returned = ldap_count_entries($ds,$search);
 
 if($number_returned == 0){ 
 $message = "Base DN invalid!"; 
 }
 
 // If the connection settings are valid
 else{
 
 $_SESSION["ldap"]["login"] = $login;
 $_SESSION["ldap"]["password"] = $password;
 $_SESSION["ldap"]["server"] = $server;
 $_SESSION["ldap"]["dn"] = $dn; 
 
 // $message = "Valid connection settings!";
 
 header("Location: ldapi.php");
 exit; 
 } 
 }
 }
 ldap_close($ds); 
 }
 }

以上是连接 ldap 服务器的核心代码，其在接收网页传来的连接参数后，使用了 ldap\_connect 函数进行了连接。我们填入相应的连接参数连接即可，如下图。

![请输入图片描述][format_png 3]

这里的登录用户名和密码是 OpenLDAP 的配置文件中指定的。然后输入服务器地址和 dn 即可。这里注意的是，如果 dn 中没有相应的记录，ldap 连接会报错提示你 dn 无效。连接成功后，会跳到 ldapi.php 文件，这个文件用来进行查询，例如输入关键字 lu，查询结果如下。

![请输入图片描述][format_png 4]

而 ldapi 文件处理搜索的时候，是直接将搜索的关键字进行查询的，并没有进行过滤处理，如果输入 \* 号则可查出所有的用户信息，如下图。

![请输入图片描述][format_png 5]

我们可以查看下 ldapi.php 文件的内容。以下是核心代码。

$search_for = $_REQUEST["user"];// The string to find
        $search_for = ldapi($search_for);
        $search_field_1 = "givenname";// The LDAP field to search for the string
        $search_field_2 = "sn";// The LDAP field to search for the string
        $search_field_3 = "userprincipalname";// The LDAP field to search for the string
        //$search_field = "userprincipalname";// The LDAP field to search for the string 
        
        // Filters the LDAP search
        // $filter = "CN=*";// Searches all the 'Common Names'
        // $filter = "($search_field=$search_for*)";// Wildcard is *. Remove it if you want an exact match
        // $filter = "($search_field=$search_for)";// Exact match
        // $filter = "(objectClass=user)";// Searches all the users
        // $filter = "(&($search_field=$search_for)(objectClass=user))";// Searches a specific user
        // $filter = "(&($search_field=$search_for)(objectClass=user)(objectCategory=person))";// Searches a specific user
        //$filter = "(|($search_field=$search_for))";// Injection!!!  
        $filter = "(|($search_field_1=$search_for)($search_field_2=$search_for)($search_field_3=$search_for))";// Injection!!!
        // Common LDAP queries
        // http://www.google.com/support/enterprise/static/gapps/docs/admin/en/gads/admin/ldap.5.4.html
      
        // Retrieves only specific attributes
        $ldap_fields_to_find = array("objectsid", "samaccountname", "userprincipalname", "cn", "displayname");
    
        // Searches the LDAP database
        // $sr = ldap_search($ds, $dn, $filter);
        $sr = ldap_search($ds, $dn, $filter, $ldap_fields_to_find);

程序会通过 request 获取 user 的内容，然后直接赋给 search\_for 变量拼接到了 filter 搜索语句中，所以造成了 ldap 注入，原理和 sql 注入一样，未过滤而直接拼接。这里可以看到 ldap 中很多注释的语句，都是不同的查询语法，便于我们切换语法进行练习。

## **0x04：防御** ##

程序在收到 user 内容后交给了 ldapi 函数进行处理，我们可以看到 ldapi 函数内容。

function ldapi($data)
    {         
        switch($_COOKIE["security_level"])
        {        
            case "0" :             
                $data = no_check($data);           
                break;        
            case "1" :           
                $data = ldapi_check_1($data);
                break;        
            case "2" :                                   
                $data = ldapi_check_1($data);            
                break;        
            default :             
                $data = no_check($data);            
                break;   
        }       
        return $data;
    }

是一个过滤内容的函数，0，1，2 分别代表用不同的函数来处理内容，0 即低，也就是不做任何处理，1 是中级的 2 是高级的，我们根据 ldapi.php 头部引入的文件可找到这些检查函数在 function\_external.php 文件中。

function no_check($data)
    {       
        return $data;      
    }

no\_check 函数未作任何过滤，会直接原封不动的返回内容。

function ldapi_check_1($data)
    {
        // Replaces dangerous characters: ( ) = & | * WHITESPACE
        $input = str_replace("(", "", $data);
        $input = str_replace(")", "", $input);
        $input = str_replace("=", "", $input);
        $input = str_replace("&", "", $input);
        $input = str_replace("|", "", $input);
        $input = str_replace("*", "", $input);
        $input = str_replace(" ", "", $input);   
        return $input;    
    }

ldapi\_check\_1 函数过滤掉了一些 ldap 语法中的特殊符号，这是中级的过滤代码，也就意味着直接输入*不会返回全部内容。而高级内容也是用的 ldapi\_check\_1 函数，这时我们输入*查询结果为空。

![请输入图片描述][format_png 6]

可见其防御方法需要过滤掉 ldap 语法中的一些关键字符。(、)、=、&、|、\*、！等。

## **0x05：总结** ##

ldap 不是很常见，测试过程中可以通过抓包、查看一些返回信息、提示标识等来判断是普通的查询还是 ldap 查询。ldap 可能内网会多点，但也有很多开了外网的查询接口，默认的端口是 389，加密的端口是 636，信息搜集的时候也可以关注下。

--------------------

**                                                                            公众号推荐：aFa攻防实验室**

**分享关于信息搜集、Web安全、内网安全、代码审计、红蓝对抗、Java、Python等方面的东西。**

![20191220230427373.jpg][]

[format_png]: /images/20220126/a2a9c718fca0485a9a9f76be9596b4f1.png
[format_png 1]: /images/20220126/b036bff82635400bb1446ff35cfa75a2.png
[format_png 2]: /images/20220126/20a07196223047f4ac9d854dea688eb7.png
[format_png 3]: /images/20220126/99862b61657246389370aaf7afa459c6.png
[format_png 4]: /images/20220126/1d1a629197684925a7dd5ed5e1254f49.png
[format_png 5]: /images/20220126/1e9f55f41bcf411ab484120cd1eef442.png
[format_png 6]: /images/20220126/7f9ef68dc6b948e7a2f6407f919cacff.png
[20191220230427373.jpg]: /images/20220126/769a4a9166884f7cac2c7fc02ece744d.png