安全运营 ldap监控域控信息

0x00 背景

公司有多个主域，子域，有的子域因为境外数据安全的问题无法把日志传输到境内。那么如何在没有日志的情况下监控子域或者互信域的组织单元(OU)信息呢。

由于访问互信域要在域控上进行，本文根据最小权限原则监控普通用户也可以访问的子域。

0x01 实践

我想到通过ldap查询来获取OU等信息，再通过正则等方法进行过滤。

一些原理和常用操作可以看我的历史文章 note/pentest/ldap at main · leezp/note · GitHub

用python实现主要是依靠 ldap3这个库。

代码里的host 填写要监控的域控的域名即可。

server = Server(host="TEST.com", port=636, get_info=ALL, use_ssl=True)

from ldap3 import Server, Connection, ALL

# server = Server(host="TEST.com", port=389, get_info=ALL, use_ssl=False)
server = Server(host="TEST.com", port=636, get_info=ALL, use_ssl=True)
conn = Connection(server, '[email protected]', 'pass',
                  auto_bind=True)
# conn.bind()

## 查找对象
# res = conn.search('dc=efsz,dc=com', '(objectclass=user)', attributes=['objectclass'])
# print(res) # search是否成功(True，False)

# 为了绕过1000条限制，在这里过滤DC
res = conn.search('OU=Domain Controllers,DC=TEST,DC=COM', '(&(objectCategory=computer))',
                  attributes=['distinguishedName'])
# print(conn.result) # 查询失败的原因  {'result': 4, 'description': 'sizeLimitExceeded', 'dn': '', 'message': '', 'referrals': None, 'type': 'searchResDone'}
# 'description': 'sizeLimitExceeded'
# print(str(conn.entries))  # 查询到的数据
for i in conn.entries:
    if "OU=AD1" not in str(i):
        print("检测到XXX" + str(i))
    else:
        # print(i)
        pass
print("-------------------------")
res2 = conn.search('OU=Domain Controllers,DC=US,DC=TEST,DC=COM', '(&(objectCategory=computer))',
                   attributes=['distinguishedName'])
for i in conn.entries:
    if "OU=AD1" not in str(i):
        print("检测到XXX" + str(i))
    else:
        # print(i)
        pass

re3 = conn.search('CN=X000XXX7,OU=Service_Accounts,OU=XXXX_Function,DC=TEST,DC=com', '(&(objectCategory=user))',
                  attributes=['distinguishedName'])
# OU=Service_Accounts,OU=XXXX_Function,DC=TEST,DC=com

print(str(conn.entries))  # 查询到的数据
print(conn.result)

# |ldapsearch domain=default search="(&(objectCategory=user))"  |search "User01"
# CN=User01,OU=Employee,OU=XXXX_Users,DC=Text,DC=com

结果忘记截图了。代码逻辑不难，大家看看跑一下应该就理解了。

0x02 后记

因为域控 ldap 查询每次有次数限制，最多返回1000条，这也是我的代码和微软官方GUI (http://live.sysinternals.com/ 、 http://live.sysinternals.com/ADExplorer64.exe) 的最大区别，他写了一个遍历，循环获取所有的机器。

但是我想到了一个方法bypass，即由于我想监控的是域控的OU且域控数量小于1000台，我在查询的时候将条件限定严格，这样返回的总数小于1000条，就不会有机器不全的问题了。

在这之前也因为windows只有GUI工具查询过如何在windows电脑装linux程序：

What is WSL?

openldap - Installing Ldap on windows for ldapsearch cmd - Stack Overflow