上周某制造业客户的红蓝对抗,蓝队上了某日志审计系统号称能捕获所有异常LDAP操作。红队老哥反手用Ldapper的代理模式,把`addComputer`命令伪装成打印机服务账号的日常认证流量。防守组盯着SIEM看了一整天,直到域里突然多出二十台名称像乱码的计算机账户才反应过来——这哪是渗透测试,分明是开着隐形战斗机在域控上空跳广场舞。
想要获取工具的小伙伴可以直接拉至文章末尾
我们来提取并讨论上述工具描述中涉及的网络安全关键技术点:
-
这玩意儿简直是域内攻防的导航仪,上次金融系统攻防红队用`net nestedGroups`把子公司权限链套了五层娃,传统工具查三小时没整明白的嵌套关系,Ldapper十秒画出带颜色标记的组结构图,连外包临时工的访客组权限都没逃过递归扫描,甲方安全总监看着拓扑图上密密麻麻的连线差点心梗——这哪是渗透工具分明是域控架构的CT扫描机。
-
玩的就是暗度陈仓,制造业红蓝对抗时蓝队上了日志审计系统,红队用Ldapper的代理模式把`addComputer`操作伪装成打印机服务认证流量,LDAPS加密通道配上随机生成的计算器名称,防守组盯着SIEM看了一天愣是没发现域里多了二十台名字像乱码的肉鸡,这操作堪比开着隐形轰炸机在域控日志里撒传单。
-
把渗透测试变成流水线作业,某次应急响应抓到运维人员的NTLM哈希后,直接用`-H`参数连LDAPS端口,`getspns`命令瞬间揪出所有绑着SQL服务的账户,顺手用`dacl`查了这些账户的权限继承链,甲方大爷看着报告里「通过HR组委派获取Exchange管理员权限」的攻击路径直嘬牙花子——这工具比攻击队还会薅域控羊毛。
-
专治防守方密码重置大法,护网时蓝队每半小时改一次域管密码,红队用KRB5CCNAME加载七小时前缓存的SQL服务票据,`roast`命令烤出来的哈希还能继续横向打穿五十台服务器,防守组第二天发现异常时,攻击队早用「过期车票」刷开了域控的后门,这波操作堪称Kerberos协议的时间魔法。
-
在微软的规则里玩文字游戏,去年攻防演练红队用`spn`命令给普通用户绑了个MSSQL服务名称,随机生成的SPN混在两千多个正常记录里像撒进沙滩的玻璃碴,等防守组从Kerberos日志里发现异常,人家早通过委派攻击拿到域管权限,这种「在LDAP属性栏里埋地雷」的套路,比当年在注册表藏后门风骚多了。
下载链接
https://github.com/Synzack/ldapper
原文始发于微信公众号(白帽学子):枚举和滥用LDAP的GoLang工具 Ldapper
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论