LDAP注入深入利用技术文档<\/h1>

1. LDAP注入概述<\/h2>
LDAP注入是指攻击者通过构造恶意的LDAP过滤器语句(filter)来获取未授权信息或绕过认证的安全漏洞。LDAP过滤器是LDAP查询的核心部分，用于筛选目录中的条目。<\/p>

1.1 LDAP过滤器基本语法<\/h3>

=<\/code> 等于<\/li>
>=<\/code> 大于等于<\/li>
<=<\/code> 小于等于<\/li>
|<\/code> 逻辑或<\/li>
&<\/code> 逻辑与<\/li>
!<\/code> 逻辑非<\/li>
*<\/code> 通配符<\/li>

(语句)<\/code> 语句分组<\/li>
<\/ul>
示例：<\/p>

(cn=admin)<\/code> - 搜索cn属性为admin的条目<\/li>
(|(cn=admin)(mail=admin)(mobile=admin))<\/code> - 搜索cn、mail或mobile为admin的条目<\/li>
<\/ul>
2. LDAP注入检测方法<\/h2>
2.1 注入点识别<\/h3>

括号测试<\/strong>：插入半个括号(<\/code>或)<\/code>，观察返回是否出现异常<\/li>
通配符测试<\/strong>：输入*<\/code>，观察返回结果：

用户存在但密码错误<\/li>
服务器错误（当查询返回多条结果且后端未处理时）<\/li>
<\/ul>
<\/li>
<\/ol>
2.2 常见注入场景<\/h3>
LDAP注入常见于：<\/p>

判断用户名是否存在的功能点<\/li>
较少出现在用户名密码同时判断的地方<\/li>
<\/ul>
3. LDAP注入基础利用<\/h2>
3.1 通配符查询<\/h3>
通过构造通配符查询实现布尔注入，逐步获取LDAP中存储的数据。<\/p>
示例：<\/p>


猜测用户名：<\/p>
(cn=a*) - 返回密码错误
(cn=b*) - 返回用户名不存在
<\/code><\/pre>
递归匹配：<\/p>
(cn=a*)
(cn=ad*)
(cn=adm*)
(cn=admi*)
(cn=admin*)
<\/code><\/pre>
<\/li>

通配符位置：<\/p>

开头：(cn=*n)<\/code><\/li>
中间：(cn=a*n)<\/code><\/li>
单独使用：(cn=*)<\/code><\/li>
<\/ul>
<\/li>

获取其他属性：<\/p>
(cn=admin)(mobile=13*)
<\/code><\/pre>
<\/li>
<\/ol>
4. LDAP注入高级利用 - 获取用户密码<\/h2>
4.1 密码属性特点<\/h3>
LDAP密码存储在userPassword<\/code>属性中，其类型为Octet String<\/code>（字节序列），而非常规字符串。因此普通通配符无法用于部分匹配。<\/p>
4.2 特殊匹配规则<\/h3>
使用octetStringOrderingMatch<\/code>匹配规则（OID: 2.5.13.18）可以逐字节比较密码值。<\/p>
规则说明：<\/p>

比较两个字节序列的大小<\/li>
从第一个字节到最后字节，从最高位到最低位逐位比较<\/li>
第一个不同的位决定顺序（0位优先于1位）<\/li>
如果长度不同但短序列与长序列前缀相同，则短序列优先<\/li>
<\/ul>
4.3 密码提取技术<\/h3>


使用十六进制转义\xx<\/code>匹配单个字节<\/p>
<\/li>

构造查询：<\/p>
(cn=admin)(userPassword:2.5.13.18:=\7b)
<\/code><\/pre>

返回"用户名错误"：不匹配<\/li>
返回"密码错误"：匹配成功<\/li>
<\/ul>
<\/li>

逐步匹配每个字节：<\/p>
(cn=admin)(userPassword:2.5.13.18:=\7b\4d)
(cn=admin)(userPassword:2.5.13.18:=\7b\4e)
<\/code><\/pre>
注意：匹配到每个字节后，需要将该字节值减1再进行下一个匹配<\/p>
<\/li>

将匹配到的字节序列转换为字符串得到密码<\/p>
<\/li>
<\/ol>
4.4 LDAP密码存储格式<\/h3>
新版本LDAP通常存储哈希后的密码，格式为：<\/p>
{哈希类型}base64编码值
<\/code><\/pre>
常见哈希类型：<\/p>

{SHA}<\/code> - SHA1<\/li>
{SSHA}<\/code> - 加盐SHA1<\/li>
{MD5}<\/code> - MD5<\/li>
{SMD5}<\/code> - 加盐MD5<\/li>
<\/ul>
加盐hash存储格式：<\/p>
hash值 + 盐值
<\/code><\/pre>
5. 防御措施<\/h2>
5.1 输入过滤<\/h3>
转义可能改变LDAP过滤器语法的字符：<\/p>
function<\/span> ldapspecialchars<\/span>($string) {
<\/span><\/span>    $sanitized =<\/span> array<\/span>(
<\/span><\/span>        '\\'<\/span> =><\/span> '\\5c'<\/span>,
<\/span><\/span>        '*'<\/span> =><\/span> '\\2a'<\/span>,
<\/span><\/span>        '('<\/span> =><\/span> '\\28'<\/span>,
<\/span><\/span>        ')'<\/span> =><\/span> '\\29'<\/span>,
<\/span><\/span>        "<\/span>\x00<\/span>"<\/span> =><\/span> '\\00'<\/span>
<\/span><\/span>    );
<\/span><\/span>    return<\/span> str_replace<\/span>(array_keys<\/span>($sanitized), array_values<\/span>($sanitized), $string);
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>5.2 其他防御建议<\/h3>

使用预编译的LDAP查询语句<\/li>
实施最小权限原则，限制LDAP绑定账户的权限<\/li>
对查询结果数量进行限制<\/li>
避免在错误信息中泄露敏感信息<\/li>
使用LDAP服务器提供的安全功能（如TLS加密）<\/li>
<\/ol>
6. 参考资源<\/h2>

RFC4519 - LDAP目录数据模型<\/li>
RFC4517 - LDAP语法和匹配规则<\/li>
LDAPWiki - octetStringOrderingMatch规则说明<\/li>
<\/ol>

LDAP注入深入利用技术文档<\/h1>

1. LDAP注入概述<\/h2> LDAP注入是指攻击者通过构造恶意的LDAP过滤器语句(filter)来获取未授权信息或绕过认证的安全漏洞。LDAP过滤器是LDAP查询的核心部分，用于筛选目录中的条目。<\/p>

2. LDAP注入检测方法<\/h2>

3. LDAP注入基础利用<\/h2>

4. LDAP注入高级利用 - 获取用户密码<\/h2>

4.1 密码属性特点<\/h3> LDAP密码存储在userPassword<\/code>属性中，其类型为Octet String<\/code>（字节序列），而非常规字符串。因此普通通配符无法用于部分匹配。<\/p>

5. 防御措施<\/h2>

6. 参考资源<\/h2> RFC4519 - LDAP目录数据模型<\/li> RFC4517 - LDAP语法和匹配规则<\/li> LDAPWiki - octetStringOrderingMatch规则说明<\/li> <\/ol>

1. LDAP注入概述<\/h2>
LDAP注入是指攻击者通过构造恶意的LDAP过滤器语句(filter)来获取未授权信息或绕过认证的安全漏洞。LDAP过滤器是LDAP查询的核心部分，用于筛选目录中的条目。<\/p>

4.1 密码属性特点<\/h3>
LDAP密码存储在`userPassword<\/code>属性中，其类型为Octet String<\/code>（字节序列），而非常规字符串。因此普通通配符无法用于部分匹配。<\/p>`

6. 参考资源<\/h2>

RFC4519 - LDAP目录数据模型<\/li>
RFC4517 - LDAP语法和匹配规则<\/li>
LDAPWiki - octetStringOrderingMatch规则说明<\/li> <\/ol>