最近在HackTheBox上氪了金(肉疼?) , 做了一些已经retired的高质量逻辑 , 不得不说质量还是很高的 。其中有一个靶机叫做CTF , 难度是最高级别的insane , 主要是它考察的知识点比较冷门——LDAP注入 。可能很多小伙伴都没怎么听说过这个漏洞 , 我想主要原因还是LDAP这个协议用的比较少 , 而且国内CTF比赛中我也基本上没有看到有考察这个点的 。在网上搜了一下 , 发现最近一次出现这个考点的是在CSAW CTF Qualification Round 2018比赛中 , 题目直接告诉你了是考LDAP注入 。刚好上个星期我在星盟内部分享中 , 也提到了这个知识点 , 那么本着聊胜于无 , 开阔知识面的本意下(其实是偷懒?) , 写下这篇浅谈LDAP注入攻击的文章 。
0x01 LDAP介绍什么是LDAP在做靶机之前 , 我们首先来了解一下什么是LDAP?
以下内容部分摘自2018 blackhat
推荐阅读
- 浅谈消炎药饭前还是饭后吃
- 物联网攻击原因、黑客动机和建议对策
- 黑客大神告诉你:Linux下的权限维持
- 大神告诉你所不知道的域控提权
- 黑客大神熬夜整理的xss各种骚操作
- 剪辑大神都在用的加字幕神器,你知道嘛
- 黑客大神告诉你:Getshell总结
- 浅谈前端八大UI库
- 黑客大神教你:Weblogic相关漏洞复现
- 黑客演示CVE-2020-7961_Liferay Portal反序列化漏洞