【ldap】Ldapsearch
1. Ldapsearch
Ldapsearch是类UNIX下一款用于活动目录信息查询的工具,kali自带
1.1. 参数
Note
Ldapsearch -h
- H ldapuri 格式为ldap://机器名或者IP:端口号 不能与-h -p同时使用
- h LDAP服务器IP 与-p 可结合使用
- p LDAP服务器端口号,与-h可结合使用
- x 使用简单认证方式
- D 认证的用户名
- w 密码 与-W二选一
- W 不输入密码,会交互式的提示用户输入密码,与-w二选一
- b 指定 basedn进行查询
- f 从文件中读取操作
- c 出错之后忽略当前错误继续执行,默认情况下遇到错误即终止
- n 模拟操作但并不实际执行,用于验证,常与-v一同使用进行问题定位
- v 显示详细信息
- d 显示debug信息,可设定几倍
- o 输出为文件
- s 指定搜索范围,可选值有base、one、sub、children
1.2. 使用
1.2.1. 连接
# 使用账户xuan和密码-H参数连接域控的389端口
ldapsearch -H ldap://192.168.52.138:389 -D "xuan@god.org" -w 123.com
# 使用账户xuan和密码-h参数连接域控 -p指定端口
ldapsearch -h 192.168.52.138 -p 389 -D "xuan@god.org" -w 123.com
1.2.2. 过滤
# 查找指定basedn的信息
ldapsearch -H ldap://192.168.52.138:389 -D "administrator@god.org" -w P@ss1234 -b "CN=administrator,CN=Users,DC=god,DC=org"
# 查找指定basedn的信息,并且过滤出name=administrator的条目
ldapsearch -H ldap://192.168.52.138:389 -D "administrator@god.org" -w P@ss1234 -b "CN=administrator,CN=Users,DC=god,DC=org" "name=administrator"
1.2.3. 显示
默认情况下,查找的结果会显示对象的所有属性,如果只想显示指定属性,在末尾加上属性名即可,也可以使用-o参数将结果导出在文件中
#查找用户administrator用户的所有信息
ldapsearch -H ldap://192.168.52.138:389 -D "administrator@god.org" -w P@ss1234 -b "CN=administrator,CN=Users,DC=god,DC=org"
# 查找用户administrator的DN属性
ldapsearch -H ldap://192.168.52.138:389 -D "administrator@god.org" -w P@ss1234 -b "CN=administrator,CN=Users,DC=god,DC=org" dn
# 查找用户administrator的DN属性,使用grep过滤结果更直观
ldapsearch -H ldap://192.168.52.138:389 -D "administrator@god.org" -w P@ss1234 -b "CN=administrator,CN=Users,DC=god,DC=org" | grep dn
# 查找用户administrator的所有信息,并将结果导出在指定LDIF格式文件中
ldapsearch -H ldap://192.168.52.138:389 -D "administrator@god.org" -w P@ss1234 -b "CN=administrator,CN=Users,DC=god,DC=org" -o ldif-wrap=no > administrator.ldif
# 使用adoffline.py脚本将LDIF格式文件转换为sqlite格式文件
python2 adoffline.py ~/administrator.ldif
1.3. 查询示例
1.3.1. 机器相关的查询命令
# 查询域中所有域控
ldapsearch -H ldap://192.168.52.138:389 -D "administrator@god.org" -w P@ss1234 -b "OU=Domain Controllers,DC=god,DC=org" "objectcategory=computer" | grep dn
# 查询域中所有的机器(包括域控)
ldapsearch -H ldap://192.168.52.138:389 -D "administrator@god.org" -w P@ss1234 -b "DC=god,DC=org" "objectcategory=computer" | grep dn
# 查询指定机器的详细信息
ldapsearch -H ldap://192.168.52.138:389 -D "administrator@god.org" -w P@ss1234 -b "DC=god,DC=org" "(&(objectcategory=computer)(name=stu1))"
1.3.2. 用户相关的查询命令
# 查询域管理员组
ldapsearch -H ldap://192.168.52.138:389 -D "administrator@god.org" -w P@ss1234 -b "CN=Domain Admins,
CN=Users,DC=god,DC=org" | grep member
# 查询域内所有用户
ldapsearch -H ldap://192.168.52.138:389 -D "administrator@god.org" -w P@ss1234 -b "DC=god,DC=org" "(
&(objectcategory=person)(objectclass=user))" | grep dn
# 查询指定域用户xuan
ldapsearch -H ldap://192.168.52.138:389 -D "administrator@god.org" -w P@ss1234 -b "DC=god,DC=org" "(&(objectcategory=person)(objectclass=user)(name=xuan))"
# 查询指定域用户的sid
ldapsearch -H ldap://192.168.52.138:389 -D "administrator@god.org" -w P@ss1234 -b "DC=god,DC=org" "(&(objectcategory=person)(objectclass=user)(name=xuan))" | grep objectSid
# 查询指定sid对应的用户
ldapsearch -H ldap://192.168.52.138:389 -D "administrator@god.org" -w P@ss1234 -b "DC=god,DC=org" "(&(objectcategory=person)(objectclass=user)(objectsid=AQUAAAAAAAUVAAAAiov/r2fpslAZJPeNVwQAAA==))"
# 查询指定域用户属于哪些组
ldapsearch -H ldap://192.168.52.138:389 -D "administrator@god.org" -w P@ss1234 -b "DC=god,DC=org" "(&(objectcategory=person)(objectclass=user)(name=administrator))" memberOf
# 查询域内开启不需要预认证的用户
ldapsearch -H ldap://192.168.52.138:389 -D "administrator@god.org" -w P@ss1234 -b "DC=god,DC=org" "useraccountcontrol:1.2.840.113556.1.4.803:=4194304" | grep dn
# 查询域内受保护的ldapsearch -H ldap://192.168.52.138:389 -D "administrator@god.org" -w P@ss1234 -b "DC=god,DC=org" "(&(objectcategory=person)(samaccountname=*)(admincount=1))" | grep dn用户
1.3.3. 组相关的查询命令
# 查询域内所有全局组
ldapsearch -H ldap://192.168.52.138:389 -D "administrator@god.org" -w P@ss1234 -b "DC=god,DC=org" "groupType=-2147483646" | grep dn
# 查询域内所有通用组
ldapsearch -H ldap://192.168.52.138:389 -D "administrator@god.org" -w P@ss1234 -b "DC=god,DC=org" "groupType=-2147483640" | grep dn
# 查询域内所有本地域组
ldapsearch -H ldap://192.168.52.138:389 -D "administrator@god.org" -w P@ss1234 -b "DC=god,DC=org" "(|(grouptype=-2147483644)(grouptype=-2147483643))" | grep dn
# 查询指定组含有哪些对象
ldapsearch -H ldap://192.168.52.138:389 -D "administrator@god.org" -w P@ss1234 -b "CN=Domain Admins,CN=Users,DC=god,DC=org" member
1.3.4. 委派相关的查询命令
# 查询域中配置了非约束性委派的主机
ldapsearch -x -H ldap://192.168.52.138:389 -D "administrator@god.org" -w P@ss1234 -b "DC=god,DC=org" "(&(samAccountType=805306369)(userAccountControl:1.2.840.113556.1.4.803:=524288))" | grep dn
# 查询域中配置非约束性委派的服务账户
ldapsearch -x -H ldap://192.168.52.138:389 -D "administrator@god.org" -w P@ss1234 -b "DC=god,DC=org" "(&(samAccountType=805306368)(userAccountControl:1.2.840.113556.1.4.803:=524288))" | grep dn
# 查询域中配置了约束性委派的主机,并可以看到被委派的SPN
ldapsearch -x -H ldap://192.168.52.138:389 -D "administrator@god.org" -w P@ss1234 -b "DC=god,DC=org" "(&(samAccountType=805306369)(msds-allowedtodelegateto=*))" | grep -e dn -e msDS-AllowedToDelegateTo
# 查询域中配置了约束性委派的服务账户,并可以看到被委派的SPN
ldapsearch -x -H ldap://192.168.52.138:389 -D "administrator@god.org" -w P@ss1234 -b "DC=god,DC=org" "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))" | grep -e dn -e msDS-AllowedToDelegateTo
# 查询域中配置基于资源的约束性委派的主机
ldapsearch -x -H ldap://192.168.52.138:389 -D "administrator@god.org" -w P@ss1234 -b "DC=god,DC=org" "(&(samAccountType=805306369)(msDS-AllowedToActOnBehalfOfOtherIdentity=*))" | grep dn
# 查询域中配置基于资源的约束性委派的服务账户
ldapsearch -x -H ldap://192.168.52.138:389 -D "administrator@god.org" -w P@ss1234 -b "DC=god,DC=org" "(&(samAccountType=805306368)(msDS-AllowedToActOnBehalfOfOtherIdentity=*))" | grep dn