使用 LDAP Ping 枚举 Active Directory 用户

---

LDAP Nom Nom 是最近发现的一种强力技术，用于匿名枚举 Active Directory 中的有效用户名，并且不会留下任何日志条目。它滥用 LDAP Ping，这是 Active Directory 中一种鲜为人知的机制，通常由计算机用来检查域控制器是否处于活动状态。

这篇博文解释了 LDAP Ping 的工作原理以及攻击者如何通过 LDAP Nom Nom 滥用它。

如何发送 LDAP ping？

要发送 LDAP ping，我们可以使用 LDP.exe，这是一个用于在 Windows 操作系统上执行 LDAP 请求的内置工具。

1. 首先，我们需要连接到域控制器但不进行身份验证：转到连接 -> 连接...，在服务器框中输入您的 DC 名称或 IP 地址，然后单击确定 。

2. 由于 LDAP ping 返回字节结构，因此我们需要将返回值解析为二进制而不是标准字符串输出。进入Options -> General，将Value Parsing设置为Binary，如下图所示：

3. 现在我们需要创建过滤器来搜索用户帐户。在此示例中，我们将搜索 sAMAccountName 为 BETHANY_WHITLEY 的用户。以下是我们制作搜索过滤器所需的详细信息：

AttributeLDAP FilterNoteNtVer(NtVer=\06\00\00\00)Taken from Microsoft’s LDAP Ping exampleAAC(AAC=\10\00\00\00)The AAC filter to search for user accounts, determined by converting from the USER_ACCOUNT code of 0x00000010 using CyberChefUser(User=BETHANY_WHITLEY)The sAMAccountName to search for

这意味着我们的 LDAP Ping 搜索过滤器将是：

(&(NtVer=浏览 -> 搜索运行。
使用 LDAP Nom Nom 自动检查用户名
)(AAC=nomnom.exe –input <Path to username file> 
我该怎么做才能检测到这一点？
结论
)(User=BETHANY_WHITLEY))

4. 现在我们执行搜索：打开搜索对话框（），如下所示填写，然后单击

5. 最后，我们需要检查搜索结果。如果用户存在，结果将如下所示：

但是，如果我们搜索不存在的帐户 (BETHS_NOT_HERE)，结果将如下所示：

显示的数字与 Microsoft 列出的操作代码不同，因为它们是十六进制的。十六进制值 19 相当于十进制的 25，表示未知用户。

攻击者可以使用 LDAP Nom Nom 自动执行为列表（例如 SecLists 中的列表）中的每个用户名发送 LDAP ping 请求并检查其是否有效的过程。 LDAP Nom Nom 拥有针对单个服务器每秒处理多达 10,000 个用户名的性能。

要自己运行此工具，您可以安装该工具并下载用户名列表或创建自己的用户名列表。然后使用以下语法执行该工具

无法使用本机日志记录检测 LDAP Nom Nom。相反，您需要一个从网络层监控 LDAP 流量的解决方案，或者 Netwrix StealthINTERCEPT 或 Netwrix StealthDEFEND 等解决方案，它们可以检测 LDAP Ping 查询并分析它们的暴力行为。

例如，下面的 Netwrix StealthINTERCEPT 屏幕截图显示了对用户 (dowens) 的查询；由于返回的对象=0，因此该用户不存在。

想要枚举 AD 用户的攻击者可以使用多种技术。然而，威胁检测解决方案很容易发现其中许多攻击。尽管我们还不知道 LDAP Nom Nom 已在野外使用，但它逃避大多数检测解决方案的能力可能使其对网络犯罪分子有吸引力，因此组织应该明智地为此做好准备。