如何进行bee-box LDAP注入的靶场练习

如果说sql注入的本质是拼接字符串的话,那么一切可以注入的本质都是拼接字符串,LDAP注入作为注入的一种也不例外,更有趣一点的说它是在拼接圆括号(sql注入也拼接圆括号,但是更习惯性的是说它拼接字符串)。

在环境配置篇里面已经很详细的说了bee-boxldap环境的配置,靶场练习篇更多的是php与ldap的连接过程,中间使用的特殊函数介绍以及圆括号拼接的一些技巧。

下面先说一下bwapp中ldap靶场的登录过程:

如何进行bee-box LDAP注入的靶场练习

首先这是一个LDAP的登录界面,URL是http://192.168.3.184/bWAPP/ldap_connect.php,直接看下这个php的文件中都写了什么。

php连接LDAP函数详解

如何进行bee-box LDAP注入的靶场练习

从ldap_connect.php 文件的133的代码开始看,五个变量依次是$message,$login, $password,$server,$dn。

这五个变量中名列前茅个是么有啥用的,第二个登录ldap服务器的用户名,第三个密码,第四个服务器地址,第五个区分名(描述一条完整的LDAP路径)。

名列前茅个if语句是清空登录LDAP的表单,第二个if语句是判断这五个变量是不是空值,这都是小事,重点是后面的这个else,从这个else里面开始看,又有了多个if和else语句,一个个来吧。

如何进行bee-box LDAP注入的靶场练习

首先看名列前茅个if之前的三个函数ldap_connect,ldap_set_option,ldap_bind,依次说明一下这三个函数的作用。

ldap_connect:用来连接ldap数据库,格式如下

$server = “localhost”

$LDAPCONN=LDAP_Connect($server)

如果$LDAPCONN的返回值为数值型当返回结果为0时连接失败,其他值时连接成功。

ldap_set_option($link_identifier ,$option , &$retval):接收三个参数

$link_identifier

ldap_connect()函数返回的LDAP连接标识符(判断LDAP是否连接成功)

$option可接收的值如下:

LDAP_OPT_DEREF(int):搜索的时候如何处理别名,取值范围如下:LDAP_DEREF_NEVER(0,默认值),LDAP_DEREF_SEARCHING(1), LDAP_DEREF_FINDING(2), LDAP_DEREF_ALWAYS(3)

LDAP_OPT_NETWORK_TIMEOUT(int):网络超时秒数,LDAP_NO_LIMIT(0,默认值)表示永不超时。

LDAP_OPT_PROTOCOL_VERSION(int):指定使用的LDAP协议版本,取值范围如下:LDAP_VERSION2(2,默认值), LDAP_VERSION3 (3)。

LDAP_OPT_REFERRALS(bool):LDAP库是否自动追随LDAP服务器返回的引用,取值范围如下:TRUE(1,默认值), FALSE(0)。

&$retval接受选项值的变量

比如bwapp中的代码:

ldap_set_option($ds,LDAP_OPT_PROTOCOL_VERSION, 3);

这句代码的意思就是说,如果ldap连接成功了,那么就指定LDAP使用的协议为版本3。(此处不必深究,都为套用格式)

ldap_bind($link_identifier,$bind_rdn,$bind_password)

$link_identifier:ldap_connect()函数返回的LDAP连接标识符(判断LDAP是否连接成功)

$bind_rdn:使用指定的rdn即登录路径比如cn=admin,dc=bwapp,dc=local

$bind_password:指定登录的密码。

ldap_search($link_identifier, $dn,$filter):LDAP目录搜索函数,成功返回一个结果集的资源描述符,通常被其他函数以$result_identifier引用,失败返回FALSE。

$link_identifier:ldap_connect()函数返回的LDAP连接标识符(判断是否连接成功)

$dn:将要被搜索的目录的DN

$filter:搜索过滤器。比如”(objectClass=*)”表示搜索所有条目(对于read函数则表示所有属性)。

bwapp中的源码:ldap_search($ds, $dn,$filter),其中$ds=ldap_connect(),

$dn=”DC=bwapp,DC=local”,$filter=(cn=*)(即所有范围的cn),这三个参数说明ldap_search函数说明查询的是当前服务器的所有目录(相对于bwapp来说)。

ldap_count_entries($link_identifier,$search):返回查询的结果的数量

$link_identifier:dap_connect()函数返回的LDAP连接标识符(判断是否连接成功)

$search:= ldap_search($link_identifier, $dn, $filter)返回查询的结果集。

此时函数已经分析的差不多了,让我们捋一下这个连接文件的大概思路。

如何进行bee-box LDAP注入的靶场练习

从149行至163行,代码都是判断得到的各种值是不是为空,如果为空,抛出提示信息。

如何进行bee-box LDAP注入的靶场练习

从第165行到198行是判断登录是否成功的,其中165行到184行是判断存不存在ldap服务,187行到198行是判断是否存在区分名(相当于数据库名)。

如何进行bee-box LDAP注入的靶场练习

从200行到236行是判断是否存在相应的dn,即是否存在相应的ldap路径,如果不存在,抛出相应的提示信息,如果存在调用ldapi.php,即ldap查询。在ldapi中得到查询结果后输出为表格。

LDAP查询结果的php文件介绍

输出表格的地方在ldapi.php文件中,接下来看ldapi.php中的代码。

直接从第231行开始看,从第231行到第240行都是上文中说过的,绑定LDAP目录,代码如下,不懂的可以看看上文中的LDAP绑定的部分

如何进行bee-box LDAP注入的靶场练习

如果绑定成功LDAP目录的话,开始进行查询,查询的代码从242行开始

如何进行bee-box LDAP注入的靶场练习

从接收POST参数user的值到,建立别名($search_field_1, $search_field_2,$search_field_3),规定过滤器($filter)(过滤器就是一个查询语句,类似于sql语句),语法规则如下:

运算符 字符 用途
等号 = 创建一个要求某一字段必须拥有给定值的过滤器。
任何 * 代表可以等于除 NULL 以外任何值的字段。
括号 ( ) 分离过滤器,以让其他逻辑运算符发挥作用。
& 结合过滤器。相应系列的所有条件都必须为真。
| 结合过滤器。相应系列中必须至少有一个条件为真。
! 排除符合过滤条件的所有对象。

返回可能会造成加载问题的所有对象:

objectClass=*

返回被指定为“person”的所有用户对象:

(&(objectClass=user)(objectCategory=person))

仅返回邮寄名单:

(objectCategory=group)

仅返回公开的文件夹:

(objectCategory=publicfolder)

返回所有用户对象,但排除主电子邮件地址已“test”开头的用户对象:

(&(&(objectClass=user)(objectCategory=person))(!(mail=test*)))

返回所有用户对象,但排除主电子邮件地址以“test”结尾的用户对象:

(&(&(objectClass=user)(objectCategory=person))(!(mail=*test)))

返回所有用户对象,但排除主电子邮件地址中包含字词“test”的用户对象:

(&(&(objectClass=user)(objectCategory=person))(!(mail=*test*)))

返回所有被指定为“person”,且属于某个群组或分配列表的所有用户对象和别名对象:

(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))

返回所有被指定为“person”的用户对象、所有群组对象,以及所有联系人,但排除任意值被定义为“extensionAttribute9”的对象:

(&(|(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))(objectClass=contact))(!(extensionAttribute9=*)))

返回所有 DN (CN=GRoup,OU=Users,DC=Domain,DC) 识别为群组成员的用户:

(&(objectClass=user)(objectCategory=person)(memberof=CN=Group,CN=Users,DC=Domain,DC=com))

返回所有用户:

Microsoft®Active Directory® LDAP 服务器:(&(objectCategory=person)(objectClass=user))

OpenLDAP™ 服务器:(objectClass=inetOrgPerson)

IBM® Notes®Domino LDAP 服务器:(objectClass=dominoPerson)

在 IBM Notes Domino LDAP 中搜索邮件地址被定义为“person”或“group”的所有对象:

(&(|(objectClass=dominoPerson)(objectClass=dominoGroup)(objectClass=dominoServerMailInDatabase))(mail=*))

ActiveDirectory:返回所有拥有电子邮件地址的有效(未停用)用户:

(&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

返回所有群组 DN 识别为 Group_1 或Group_2 成员的用户。

(&(objectClass=user)(objectCategory=person)(|(memberof=CN=Group_1,cn=Users,DC=Domain,DC=com)(memberof=CN=Group_2,cn=Users,DC=Domain,DC=com)))

返回 extensionAttribute1 值为“Engineering”或“Sales”的所有用户

(&(objectCategory=user)(|(extensionAttribute1=Engineering)(extensionAttribute1=Sales)))

语法规则介绍完毕,接着分析从267开始的代码

如何进行bee-box LDAP注入的靶场练习

$ldap_fields_to_find定义一个数组,便于打印输出表格,和接收ldap查询到的结果,将$ldap_fields_to_find作为ldap_search函数的第四个参数,表示用这个别名保存接收到的结果,即键值对形式,接着将结果返回到$info这个数组中,最后将各个键对应到从287行到291行的各个变量,最后循环输出,打印表格,至此,查询完毕。

LDAP注入拼接语法的简单介绍

既然LDAP过滤器类似于sql查询语句,那么直接看bwapp中的过滤器如何写就行了。直接看ldapi.php文件中的$filter变量:

$filter=”(|($search_field_1=$search_for)($search_field_2=$search_for)($search_field_3=$search_for))”;

sql语句的精髓在于拼接单引号,ldap语句的精髓在于拼接括号。

现在我想要查询所有的用户,直接在user处输入*就行,那么$filter就会变成$filter=”(|($search_field_1=*)($search_field_2=*)($search_field_3=*))”;

看一下bwapp中的结果

如何进行bee-box LDAP注入的靶场练习

返回了很多用户但是不够,因为我想看到我的管理员,那么我就要构造这样的LDAP过滤器。

$filter=”(|($search_field_1=*)(objectclass=*)($search_field_2=*)($search_field_3=*))”;

这样我就能查询所有的用户,包括管理员,objectclass=*的意思就是只要存在就搜索,即全局。

那么在user处输入*)(objectclass=*就行

看下结果,出现了管理员,注入成功。

如何进行bee-box LDAP注入的靶场练习

看完上述内容,你们掌握如何进行bee-box LDAP注入的靶场练习的方法了吗?如果还想学到更多技能或想了解更多相关内容,欢迎关注亿速云行业资讯频道,感谢各位的阅读!

文章标题:如何进行bee-box LDAP注入的靶场练习,发布者:亿速云,转载请注明出处:https://worktile.com/kb/p/26613

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
亿速云的头像亿速云
上一篇 2022年9月18日 下午10:35
下一篇 2022年9月18日 下午10:37

相关推荐

  • 2024年9款优质CRM系统全方位解析

    文章介绍的工具有:纷享销客、Zoho CRM、八百客、红圈通、简道云、简信CRM、Salesforce、HubSpot CRM、Apptivo。 在选择合适的CRM系统时,许多企业面临着功能繁多、选择困难的痛点。对于中小企业来说,找到一个既能提高客户关系管理效率,又能适应业务扩展的CRM系统尤为重要…

    2024年7月25日
    1600
  • 数据库权限关系图表是什么

    数据库权限关系图表是一种以图表形式展示数据库权限分配和管理的工具。它可以有效地帮助我们理解和管理数据库中的各种权限关系。数据库权限关系图表主要包含以下几个部分:数据对象、用户(或用户组)、权限类型、权限级别、权限状态等。其中,数据对象是权限关系图表中的核心元素,它代表了数据库中的各种数据资源,如表、…

    2024年7月22日
    200
  • 诚信数据库是什么意思

    诚信数据库是一种收集、存储和管理个人或组织诚信信息的系统。它是一种用于评估和管理个人或组织行为的工具,通常由政府、商业组织或者非营利组织进行运营。诚信数据库的主要功能包括:1、评估个人或组织的诚信状况;2、提供决策支持;3、预防和控制风险;4、促进社会信用体系建设。 在这四大功能中,评估个人或组织的…

    2024年7月22日
    400
  • 数据库期末关系代数是什么

    关系代数是一种对关系进行操作的代数系统,是关系模型的数学基础,主要用于从关系数据库中检索数据。其操作包括选择、投影、并集、差集、笛卡尔积、连接、除法等。其中,选择操作是对关系中的元组进行筛选,只保留满足某一条件的元组;投影操作则是从关系中选择出一部分属性构造一个新的关系。 一、选择操作 选择操作是关…

    2024年7月22日
    700
  • mysql建立数据库用什么命令

    在MySQL中,我们使用"CREATE DATABASE"命令来创建数据库。这是一个非常简单且基础的命令,其语法为:CREATE DATABASE 数据库名。在这个命令中,“CREATE DATABASE”是固定的,而“数据库名”则是你要创建的数据库的名称,可以自己设定。例如,如…

    2024年7月22日
    500
注册PingCode 在线客服
站长微信
站长微信
电话联系

400-800-1024

工作日9:30-21:00在线

分享本页
返回顶部