LDAP注入漏洞与防御

0x01 前言

前两天爆了一个LDAP漏洞，据说存在了8年现在才被发现，感概一下，不知这8年来有多少站被搞了。。。
想着复现这个漏洞，就先复习一下LDAP注入的相关知识吧，差了很多资料，记一下笔记。

0x02 LDAP介绍

在学习LDAP注入之前，首先要了解LDAP的运行机制。
什么是LDAP？LDAP(Lightweight Directory Access Protocol):轻量级目录访问协议，是一种在线目录访问协议。LDAP主要用于目录中资源的搜索和查询，是X.500的一种简便的实现。
简单来说，可以理解为LDAP是某种搜索协议，就像我们熟知的数据库一样，我们利用SQL语句进行查询数据库中的数据。而LDAP也有一套自己的查询语句，来进行查询。

LDAP查询语法

1 2	search语法：attribute operator value search filter options:( "&" or "\|" (filter1) (filter2) (filter3) ...) ("!" (filter))

LDAP的搜索语法其实很容易，这里看不明白的话，往下看一下具体实例就会明白的。

0x03 LDAP注入攻击

轻量级目录访问协议是通过TCP/IP查询和修改目录服务的协议，使用最广泛的LDAP服务如微软的ADAM(Active Directory Application Mode)和OpenLDAP。

1	(&(attribute=value)(injected_filter)) (second_filter)

需要注意的是，在OpenLDAP中，第二个过滤器会被忽略，只有第一个会被执行，那么类似上面的这种注入就可以成功的。而在ADAM中，有两个过滤器的查询是不被允许的，那么这种注入是没什么用的。

AND LDAP注入

当后端的代码如下

1	(&(parameter1=value1)(parameter2=value2))

这里value1和value2都会被查询，其中value1和value2是用户可控的，如果过滤不完善，就会存在LDAP注入的可能。
比如一个用户登录的场景，用户输入username和password，应用会构造一个过滤器并发给LDAP服务器进行查询。

1	(&(username=uname)(password=pwd))

当用户输入一个有效的用户名，例如admin，那么就有可能在username字段后面进行注入，从而在不知道密码的情况下进行登陆。

1 2	payload: admin)(&)) result: (&(username=admin)(&))(password=123))

LDAP服务器只会处理第一个过滤器，而第一个过滤器永真，因此绕过了登录框

OR LDAP注入

当后端代码如下：

1	(\|(parameter1=value1)(parameter2=value2))

一个典型的OR LDAP注入的场景就是：
假设一个资源管理器允许用户了解系统中可用的资源(打印机、扫描器、存储系统等)。用于展示可用资源的查询为：

1	(\|(type=Rsc1)(type=Rsc2))

Rsc1和Rsc2表示系统中不同种类的资源，例如，Rsc1=printer，Rsc2=scanner用于列出系统中所以可用的打印机和扫描器。

1 2	payload: Rsc1=printer)(uid=) result: (\|(type=printer)(uid=))(type=scanner))

LDAP服务器会响应所有的打印机和用户对象

LDAP盲注
```
- LDAP AND盲注
```
假设一个Web应用想从一个LDAP目录列出所有可用的Epson打印机，错误信息不会返回，应用发送如下的过滤器：
1
(&(objectclass=printer)(type=Epson*))

使用这个查询，如果有可用的Epson打印机，其图标就会显示给客户端，否则没有图标出现。如果攻击者进行LDAP盲注入攻击”)(objectClass=))(&(objectClass=void”，Web应用会构造如下查询：

1	(&(objectclass=)(objectClass=))(&(objectClass=void)(type=Epson*))

仅对第一个过滤器进行处理：

1	(&(objectclass=)(objectClass=))

结果是，打印机的图标会一定显示出来，因为该查询永远会有结果，过滤器objectClass=*总是返回一个对象。当图标被显示时响应为真，否则为假。
例如构造如下的注入：

1
2
3

(&(objectClass=*)(objectClass=users))(&(objectClass=foo)(type=Epson*))

(&(objectClass=*)(objectClass=resources))(&(objectClass=foo)(type=Epson*))

这种代码注入的设置允许攻击者推测可能存在于LDAP目录服务中不同对象类的值。当响应Web页面至少包含一个打印机图标时，对象类的值就是存在的，另一方面而言，如果对象类的值不存在或没有对它的访问，就不会有图标出现。

- LDAP OR盲注

这种情况下，用于推测想要的信息的逻辑是相反的，因为使用的是OR逻辑操作符。接下来使用的是同一个例子，OR环境的注入为：

1	(\|(objectClass=void)(objectClass=void))(&(objectClass=void)(type=Epson*))

　　这个LDAP查询没有从LDAP目录服务获得任何对象，打印机的图标也不会显示给客户端(FALSE)。如果在响应的Web页面中有任何图标，则响应为TRUE。故攻击者可以注入下列LDAP过滤器来收集信息：

1 2	(\|(objectClass=void)(objectClass=users))(&(objectClass=void)(type=Epson)) (\|(objectClass=void)(objectClass=resources))(&(objectClass=void)(type=Epson))

##0x04 LDAP注入防御

LDAP注入的防御跟SQL注入的防御其实差不多，主要就是要把用户输入的东西过滤好，基本就可以防御了。
下图包含了LDAP中用到的特殊字符和需要转义处理的字符：

左边的字符在正常情况下是不会用到的，如果在用户的输入中出现了需要用反斜杠转义处理。而右边的圆括号这些如果不过滤的话就会导致过滤器闭合而生产攻击者需要的filter，这里看到不仅是用反斜杠处理，还将字符变成了相应的ASCII码值，这些符号本不该出现。

这段php防御代码可以记录一下：

function ldapspecialchars($string) {
    $sanitized=array('\\' => '\5c',
                     '*' => '\2a',
                     '(' => '\28',
                     ')' => '\29',
                     "\x00" => '\00');

    return str_replace(array_keys($sanitized),array_values($sanitized),$string);
}

LDAP服务开启的端口是389，如果发现某个服务器上开启了该端口很可能就是开启了LDAP服务