LDAP（轻量级目录访问协议）广泛用于企业环境中针对 Active Directory (AD) 的身份验证。但是，LDAP 设置中的错误配置可能会导致严重的漏洞。LDAP回传攻击就是这样一种攻击媒介，攻击者可以操纵 LDAP 配置来拦截纯文本凭据。这种技术对于使用不安全方法向 Active Directory 进行身份验证的网络设备、应用程序和设备尤其有效。

目标

在本指南中，我们将探讨：

• 什么是 LDAP 回传攻击
• 可应用场景
• 执行步骤说明
• 实际用例和缓解策略

什么是 LDAP 回传攻击？

设备不会连接到合法的 LDAP 服务器，而是被诱骗与攻击者控制的恶意 LDAP 服务器进行通信。当设备尝试使用存储的凭据进行身份验证时，攻击者会以明文形式拦截登录详细信息 — 通常会泄露具有提升权限的Active Directory 服务帐户。

为何以及何时使用它

1. 本地网络访问

• 攻击者可以访问内部网络或设备的管理界面。
• 示例：恶意设备与目标设备放置在同一个 LAN/VLAN 上。

2. 默认或弱配置

• 打印机、扫描仪或旧设备等设备使用管理面板的默认密码（例如admin:password）。
• LDAP 身份验证使用LDAP 服务帐户配置，密码可能被隐藏但仍然可以检索。

3. 利用不安全的 LDAP

• 该设备支持 LDAP，但不强制执行安全 LDAP（LDAPS）。
• LDAP 服务器地址可以在设置中修改。

4. 攻击者的目标

• 以纯文本形式恢复AD 服务帐户凭据。
• 使用凭据在域内进行横向移动或权限提升。

先决条件

要执行 LDAP 回传攻击，您需要：

• 管理员访问设备的 LDAP 设置。
• 恶意 LDAP 服务器：侦听端口 389 并强制将身份验证降级为纯文本（例如 PLAIN、LOGIN 或 minssf=0）。
• 通过网络访问目标设备。

执行 LDAP 回传攻击的分步指南

1. 识别目标设备

• 查找使用 LDAP 身份验证的设备（打印机、网络设备等）。
• 以管理员权限登录其管理控制台。

2. 设置恶意 LDAP 服务器

1. 在攻击者机器上安装 OpenLDAP（或另一个 LDAP 服务器）。
2. 配置最低安全性以强制纯文本身份验证：

# Reconfigure slapdsudo dpkg-reconfigure -p low slapd# Modify SASL security propertiesecho"dn: cn=configreplace: olcSaslSecPropsolcSaslSecProps: noanonymous,minssf=0,passcred" > olcSaslSecProps.ldif# Apply changes & restartsudo ldapmodify -Y EXTERNAL -H ldapi:// -f olcSaslSecProps.ldifsudo service slapd restart# Reconfigure slapd sudo dpkg-reconfigure -p low slapd  # Modify SASL security properties echo "dn: cn=config replace: olcSaslSecProps olcSaslSecProps: noanonymous,minssf=0,passcred" > olcSaslSecProps.ldif  # Apply changes & restart sudo ldapmodify -Y EXTERNAL -H ldapi:// -f olcSaslSecProps.ldif sudo service slapd restart

3. 验证是否仅启用了PLAIN/LOGIN SASL 机制：

ldapsearch -H ldap:// -x -LLL -s base -b "" supportedSASLMechanisms

• 输出应该列出PLAIN和LOGIN。

3. 将设备重定向到您的服务器

• 在LDAP 设置页面中：

  Change the LDAP Server Address to your attacker’s IP.

  Keep port 389.

  Save the settings.

4. 触发 LDAP 身份验证

• 单击“测试设置”按钮或强制重新连接。
• 如果成功，设备将尝试进行身份验证并将纯文本凭据发送到您的恶意 LDAP 服务器。

5. 获取凭证

• 使用Wireshark或tcpdump监控传入的 LDAP 流量：

sudo tcpdump -SX -i <interface> port 389

• 查找包含或身份验证的绑定请求。simplePLAIN

真实示例：利用打印机的 LDAP 身份验证

1. 入侵打印机

• admin:admin使用默认凭据 ( )登录网络打印机的 Web 控制台。

2.修改LDAP服务器地址

• 更改ldap.company.local为攻击者的 IP ( 10.10.10.50)。

3. 运行 Rogue LDAP 服务器

• slapd从不安全的设置开始。

4.测试 LDAP 连接

• 打印机尝试绑定并显示svcPrinter:SuperSecret123!。

5. 使用凭证

• 对 AD 进行身份验证、访问共享或提升权限。

何时使用 LDAP 回传攻击

• 内部渗透测试：当您有权访问内部设备的 LDAP 设置时。
• 安全配置薄弱：当 LDAP 设置允许纯文本身份验证时。
• 凭证收集：当您需要额外的域帐户以进行进一步利用时。

限制和注意事项

• LDAPS 或 SMB 签名：安全 LDAP 可以防止传输纯文本凭据。
• 帐户权限：检索到的凭证可能具有有限的访问权限。
• 检测风险：修改 LDAP 设置可能会触发日志或警报。
• 时间敏感：某些设备仅在特定条件下尝试 LDAP 身份验证。

缓解策略

为了防范 LDAP 回传攻击，组织应该：

• 强制安全 LDAP (LDAPS)：要求所有 LDAP 连接使用 TLS。
• 限制管理员访问：限制对设备配置的访问。
• 监控配置变化：记录并警告 LDAP 设置修改。
• 应用最小权限：使用最小权限帐户进行 LDAP 身份验证。

结论

LDAP回传攻击是一种从配置错误的设备中提取纯文本凭据的有效方法。通过将 LDAP 身份验证重定向到恶意 LDAP 服务器，攻击者可以捕获凭据，这些凭据可能有助于在 Windows 域环境中进行横向移动和特权升级。但是，实施安全 LDAP 策略、监控更改和限制访问可以有效降低这种风险。

原文始发于微信公众号（KK安全说）：LDAP 回传攻击指南