jueves, octubre 04, 2007

Capturando credenciales LDAP con CAIN. Step by Step. Por Juan Luís Rambla

A través de las siguientes líneas vamos a describir como se produce el ataque de robo de credenciales de autentificación LDAP, mediante el uso de la técnica complementaria de Man in the middle. Para la realización de esta operación presentamos un escenario de LDAP basado en Directorio Activo, para lo cual contamos con un dominio llamado Informatica64.hol, al que realizaremos una conexión mediante una aplicación estándar de consulta LDAP como es LDAP Browser en su versión 2.6.

Como herramienta para la realización del ataque de hombre en medio, utilizaremos Caín & Abel 4.9.6, que cuenta con la posibilidad de realizar Sniffing de sesiones LDAP y que nos servirá para recuperar la contraseña de autentificación contra el servicio de directorio existentes para el dominio de Informatica64. Para ello durante el proceso de “Bind” del cliente contra el servidor LDAP, se interceptará todo el proceso de autentificación del usuario, con el consiguiente robo de credenciales. En esta ocasión el objetivo es el robo de credenciales del usuario “Administrator”.


Fig. 1.- Directorio Activo.

Con objeto de realizar el proceso de autentificación LDAP, procedemos a configurar la herramienta LDAP Browser, con las conexión al Controlador de dominio y las credenciales de autentificación del usuario correspondiente en formato de Nombre Distinguido (DN).

Fig. 2.- Configuración conexión cliente LDAP.


Fig. 3.- Configuración de credenciales.

Una vez realizada la configuración del cliente y proporcionado las credenciales se procede a la conexión con el servidor LDAP y que tal y como se refleja se obtiene como resultado el servicio de directorio, así como sus objetos, clases, atributos y propiedades.

Fig. 4.- Conexión LDAP.

Como hemos comprobado que la conexión se ha realizado correctamente, vamos a proceder a la interceptación y el sniffing de esta sesión LDAP. Como para la realización de cualquier otra técnica de ataque de hombre en medio, se procede a la realización del envenenamiento de la dirección física, de las dos máquinas que intervienen en el proceso (cliente y servidor LDAP) y la posterior captura de las credenciales de autentificación.

Fig. 5.- Configuración APR.

Una vez puesta en marcha la sesión de Snifing, esperamos a que se intercepte la autentificación LDAP del cliente, para a obtención de las credenciales esperadas. En este caso la autentificación interceptada, se produce al usuario ‘Administrator’, que ha utilizado como contraseña la palabra ‘admin’.

Fig. 6.- Autentificación LDAP.


Fig. 7.- Robo de credenciales LDAP.


Contramedidas: LDAP-s, IPSec para conexiones de autenticación LDAP.

10 comentarios:

Anónimo dijo...

Ya veo que no tienes el Temple necesario para soportar ciertos comenttarios. Parece que te toque bien la moral, espcialmente al haver encontrado tu nombre de usuario para accder a tu propio blog.

Tienes un mal perder. Si con el resto de las cosas, haces lo mismo, te ocultas, huyes, o lo censuras, ya dejas claro que informatico eres. Encajas mal la verdad.

Te atormenta que te contradigan? Pero si a un maligno, le encanta el mal y por consiguiente, no le deberia de sentar mal entre comillas, que le hicieran el mal, puesto que esta en su salsa, o acaso no sabes ni lo que quieres?

Tambien censuraras este comentario como has hecho con el resto?

maligno dijo...

Censurar? mal perder? la verdad? me tocaste que? contradigan? el cualo? la verdad? cuando se censura un comentario aparece como borrado. Yo no he borrado ninguno compañero, si hay hasta spam en el blog. Es aquí dónde quieres publicar "este comentario"?

Dark_TuxVader dijo...

Coño que mala persona eres Maligno! no sabía eso de ti, y mira que sin conocerte me caias simpático aunque fueses un truan del lado oscuro... es que uno ya no se puede fiar de nadie

Desde luego parece que has cabreado a ese anónimo...

Por cierto a lo que venía, cojonudo el post.
Saludos desde el otro lado del muro.

Asfasfos dijo...

Como no este tipo de usuarios hablan siempre desde el anonimato...igual eres tu el que tienes algo que esconder...

P.D: Haber es con b no con v :)

Benigno dijo...

Anónimo, que te pasas!!

MALIGNO AMA LINUX

Kraden dijo...

@Maligno: Excelente post maligno, no me puedo creer que una nueva tecnologia no lleve cifrado para las pass, es lo primero en lo k tenian que haber pensado.
@anonimo, por lo visto tu eres el unico k se esconde aki al no poner ni un misero nick, que no es tu nombre ni tu direccion solo un nick. Ademas por tus comentarios se te nota un poko jodido, yo creo k el k ha perdido(el norte) has sido tu flipao.
Un saludo.

Pako dijo...

Osea si no hay ningun tipo de encriptación de datos entre el cliente y el servidor LDAP (sea IPSEC o cualquier otro protocolo de cifrado) se puede sniffear absolutamente todo de LDAP?

romansoft dijo...

Así es, Pako :-) Y para algo se inventó el Ldap-over-SSL o simplemente LDAPS (636/tcp)... El problema es que la gente no se molesta en configurarlo para ahorrarse la gestión/configuración de los certificados.

-r

El Niño Santo de Emaús dijo...

@Pako. Bueno, hay que decir que aunque LDAP vaya en claro, esto no quiere decir que en un directorio activo Microsoft las contraseñas de los usuarios viajen en claro, que quede "claro". Las contraseñas viajan en plano sólo si haces directamente una conexión LDAP usando un bind, no para el acceso a servicios MS, que usan NTLM (v2) o Kerberos. Dicho sólo para evitar pánicos innecesarios ;-D

Maligno dijo...

Hay que tener cuidado con las aplicaciones que se meten en casa... y como estan configuradas.

Entradas populares