دفترچه تلفنِ لو دهنده شبکه!

از /

دفترچه تلفن لو دهنده شبکه!

واقعا لازم نیست حدس بزنیا!

ldap enumeration

😥ببین رفیق، تو شبکه‌های ویندوزی بزرگ که Active Directory (AD) دارن، یه پروتکل هست به اسم LDAP (یا Lightweight Directory Access Protocol). این پروتکل دقیقاً مثل یه “دفترچه تلفن هوشمند” یا یه دیتابیس مرکزی عمل می‌کنه. توش چی هست؟ همه چی! از اسم یوزرها و گروه‌ها گرفته تا لیست کامپیوترها و سیاست‌های امنیتی.

🥶این سرویس به طور پیش‌فرض روی پورت TCP/UDP 389 کار می‌کنه. نکته ترسناک ماجرا کجاست؟ پورت ۳۸۹ اطلاعات رو به صورت متن ساده (Plaintext) رد و بدل می‌کنه (مگر اینکه TLS ست شده باشه). اگه امنیت بخوایم باید بریم سراغ LDAPS که روی پورت ۶۳۶ هست و رمزنگاری شده است.

حالا اگه ما بتونیم این پورت ۳۸۹ رو Enumerate کنیم، یعنی عملاً نقشه کل سازمان و لیست کارمندان رو بدون زحمت به دست آوردیم!

👽چی گیرمون میاد؟ (گنجینه اطلاعات)

وقتی LDAP رو شخم می‌زنیم (Enumerate)، این چیزا رو می‌کشیم بیرون:

  1. لیست کاربران: نام کاربری‌ها (Usernames)، سمت شغلی و جزئیات دیگه (خوراک حملات پسورد).
  2. گروه‌ها و عضویت‌ها: کی ادمینه؟ کی تو گروه مالیه؟ کی تو گروه IT هست؟
  3. اطلاعات دستگاه‌ها: اسم کامپیوترها، سیستم‌عامل‌هاشون و تنظیماتشون.
  4. سیاست‌های امنیتی: مثلاً پسوردها چند وقت یکبار باید عوض بشن (Password Policy).
  5. ساختار درختی: اینکه شبکه چطور سازماندهی شده (OUها و دامین‌ها).

👻جعبه‌ابزار هکرها (دستورات و ابزارهای Enumerate)

خب بریم سراغ اصل کار. فرض کن IP هدف ما <target-IP> هست. اینم ابزارایی که لازم داری:

۱. آچار فرانسه همیشگی: Nmap

اول ببینیم پورت بازه یا نه و بعدش با اسکریپت‌ها بیفتیم به جونش.

الف) اسکن پورت:

nmap -p 389 -sV target-IP

ب) استخراج اطلاعات با اسکریپت‌های Nmap:

ان‌مپ دو تا اسکریپت عالی برای LDAP داره:

nmap -p 389 –script ldap-rootdse,ldap-search target-IP

  • ldap-rootdse: اطلاعات پایه‌ای و متا دیتا درباره سرور LDAP میده.
  • ldap-search: این خیلی خفنه! جستجو می‌کنه و لیست یوزرها و گروه‌ها رو میکشه بیرون.

۲. ابزار تخصصی: ldapsearch

این ابزار خط فرمان، مخصوص همین کاره. اگه روی لینوکس داریش، می‌تونی دایرکتوری رو کامل دامپ کنی.

دستور طلایی:

ldapsearch -x -h target-IP -p 389 -b dc=example,dc=com

  • x-: یعنی بدون احراز هویت (Anonymous bind) وصل شو. (اگه سرور کانفیگش ضعیف باشه جواب میده).
  • h-: آدرس IP هدف.
  • b-: نقطه شروع جستجو (Base DN). مثلاً اگه دامین example.com باشه، باید بزنی dc=example,dc=com.

۳. همه‌کاره ویندوزی: enum4linux

این ابزار معمولاً برای SMB استفاده میشه ولی تو نسخه‌های جدیدش LDAP رو هم عالی پشتیبانی می‌کنه.

enum4linux -a target-IP

سوییچ -a یعنی “همه چی رو بریز بیرون”. خودش میره یوزرها و گروه‌های AD رو درمیاره.

۴. فریم‌ورک متاسپلویت (Metasploit)

اگه می‌خوای کلاسیک کار کنی، متاسپلویت ماژول آماده داره. کنسول msfconsole رو باز کن:

use auxiliary/scanner/ldap/ldap_enum
set RHOSTS target-IP
run

این ماژول خودش وصل میشه و هر چی آبجکت (User, Group) بتونه پیدا کنه رو لیست می‌کنه.

۵. ابزارهای گرافیکی (برای کسایی که حوصله تایپ ندارن)

اگه با محیط متنی حال نمی‌کنی، دو تا ابزار گرافیکی توپ داریم:

  • Softerra LDAP Browser: رایگان و عالی. IP و پورت ۳۸۹ رو میدی، اونم کل درخت شبکه رو گرافیکی بهت نشون میده.
  • LDAP Administration Tool (LADP Admin): اینم مشابه بالاییه، برای مرور راحت ساختار دایرکتوری عالیه.

مراحل عملیاتی (از صفر تا صد)

  1. شناسایی: اول مطمئن شو پورت بازه.

nmap -p 389 target-IP

درخواست اطلاعات: حالا سعی کن وصل بشی. اولش سعی کن بدون یوزر/پسورد (Anonymous) وصل بشی.

ldapsearch -x -h <target-IP> -p 389 -b dc=example,dc=com

  1. مشاهده و تحلیل: خروجی‌ها رو نگاه کن. دنبال یوزرهای ادمین، توضیحات (Description) یوزرها که شاید توش پسورد باشه، و گروه‌های حساس بگرد.
  2. جمع‌آوری: لیست یوزرها رو سیو کن برای حملات بعدی (مثل Password Spraying).

⚡خطرات و حملات بعدی

وقتی LDAP رو باز کردی، عملاً درویش کردی:

  • LDAP Injection: تزریق کد مخرب تو کوئری‌ها برای بای‌پس کردن لاگین یا دزدیدن اطلاعات بیشتر.
  • Brute Force Attack: حالا که لیست یوزرها رو داری، فقط کافیه پسوردها رو حدس بزنی.
  • Privilege Escalation: اگه بفهمی کدوم یوزر دسترسی بالا داره، هدفمندتر حمله می‌کنی.

👅دیوارهای دفاعی (چطور جلوش رو بگیریم؟)

  1. رمزنگاری اجباری (LDAPS): پورت ۳۸۹ رو ببند و همه رو مجبور کن از پورت ۶۳۶ (LDAPS) استفاده کنن تا اطلاعات رمزنگاری بشه.
  2. بستن دسترسی Anonymous: هیچ‌وقت اجازه نده کسی بدون یوزر و پسورد بتونه به LDAP کوئری بزنه (Bind کنه).
  3. فایروال: پورت ۳۸۹/۶۳۶ نباید از اینترنت قابل دسترسی باشه. فقط شبکه‌های داخلی مجاز باید ببیننش.
  4. احراز هویت قوی: پسوردهای پیچیده و احراز هویت چندمرحله‌ای (MFA) برای ادمین‌ها.
  5. مانیتورینگ: لاگ‌های LDAP رو چک کن. اگه دیدی یه IP داره حجم زیادی کوئری میزنه، سریع بلاکش کن.

دیدگاه‌ خود را بنویسید

پیمایش به بالا