如果说sql注入的本质是拼接字符串的话，那么一切可以注入的本质都是拼接字符串，ldap注入作为注入的一种也不例外，更有趣一点的说它是在拼接圆括号（sql注入也拼接圆括号，但是更习惯性的是说它拼接字符串）。

在环境配置篇里面已经很详细的说了bee-box中ldap环境的配置，靶场练习篇更多的是php与ldap的连接过程，中间使用的特殊函数介绍以及圆括号拼接的一些技巧。

下面先说一下bwapp中ldap靶场的登录过程：

首先这是一个LDAP的登录界面，URL是http://192.168.3.184/bWAPP/ldap_connect.php，直接看下这个php的文件中都写了什么。

php连接LDAP函数详解

从ldap_connect.php 文件的133的代码开始看，五个变量依次是$message，$login， $password，$server，$dn。

这五个变量中第一个是么有啥用的，第二个登录ldap服务器的用户名，第三个密码，第四个服务器地址，第五个区分名（描述一条完整的LDAP路径）。

第一个if语句是清空登录LDAP的表单，第二个if语句是判断这五个变量是不是空值，这都是小事，重点是后面的这个else，从这个else里面开始看，又有了多个if和else语句，一个个来吧。

首先看第一个if之前的三个函数ldap_connect，ldap_set_option，ldap_bind，依次说明一下这三个函数的作用。

ldap_connect：用来连接ldap数据库，格式如下

$server = “localhost”

$LDAPCONN=LDAP_Connect($server)

如果$LDAPCONN的返回值为数值型当返回结果为0时连接失败，其他值时连接成功。

ldap_set_option($link_identifier ,$option , &$retval)：接收三个参数

$link_identifier

ldap_connect()函数返回的LDAP连接标识符（判断LDAP是否连接成功）

$option可接收的值如下：

LDAP_OPT_DEREF(int)：搜索的时候如何处理别名，取值范围如下：LDAP_DEREF_NEVER(0,默认值),LDAP_DEREF_SEARCHING(1), LDAP_DEREF_FINDING(2), LDAP_DEREF_ALWAYS(3)

LDAP_OPT_NETWORK_TIMEOUT(int)：网络超时秒数，LDAP_NO_LIMIT(0,默认值)表示永不超时。

LDAP_OPT_PROTOCOL_VERSION(int)：指定使用的LDAP协议版本，取值范围如下：LDAP_VERSION2(2,默认值), LDAP_VERSION3 (3)。

LDAP_OPT_REFERRALS(bool)：LDAP库是否自动追随LDAP服务器返回的引用，取值范围如下：TRUE(1,默认值), FALSE(0)。

&$retval接受选项值的变量

比如bwapp中的代码：

ldap_set_option($ds,LDAP_OPT_PROTOCOL_VERSION, 3);

这句代码的意思就是说，如果ldap连接成功了，那么就指定LDAP使用的协议为版本3。（此处不必深究，都为套用格式）

ldap_bind($link_identifier,$bind_rdn,$bind_password)

$link_identifier：ldap_connect()函数返回的LDAP连接标识符（判断LDAP是否连接成功）

$bind_rdn：使用指定的rdn即登录路径比如cn=admin,dc=bwapp,dc=local

$bind_password：指定登录的密码。

ldap_search($link_identifier, $dn,$filter)：LDAP目录搜索函数，成功返回一个结果集的资源描述符，通常被其他函数以$result_identifier引用，失败返回FALSE。

$link_identifier：ldap_connect()函数返回的LDAP连接标识符（判断是否连接成功）

$dn：将要被搜索的目录的DN

$filter：搜索过滤器。比如"(objectClass=*)"表示搜索所有条目(对于read函数则表示所有属性)。

bwapp中的源码：ldap_search($ds, $dn,$filter)，其中$ds=ldap_connect(),

$dn=”DC=bwapp,DC=local”,$filter=(cn=*)(即所有范围的cn)，这三个参数说明ldap_search函数说明查询的是当前服务器的所有目录（相对于bwapp来说）。

ldap_count_entries($link_identifier,$search)：返回查询的结果的数量

$link_identifier：dap_connect()函数返回的LDAP连接标识符（判断是否连接成功）

$search：= ldap_search($link_identifier, $dn, $filter)返回查询的结果集。

此时函数已经分析的差不多了，让我们捋一下这个连接文件的大概思路。

从149行至163行，代码都是判断得到的各种值是不是为空，如果为空，抛出提示信息。

从第165行到198行是判断登录是否成功的，其中165行到184行是判断存不存在ldap服务，187行到198行是判断是否存在区分名（相当于数据库名）。

从200行到236行是判断是否存在相应的dn，即是否存在相应的ldap路径，如果不存在，抛出相应的提示信息，如果存在调用ldapi.php，即ldap查询。在ldapi中得到查询结果后输出为表格。

LDAP查询结果的php文件介绍

输出表格的地方在ldapi.php文件中，接下来看ldapi.php中的代码。

直接从第231行开始看，从第231行到第240行都是上文中说过的，绑定LDAP目录，代码如下，不懂的可以看看上文中的LDAP绑定的部分

如果绑定成功LDAP目录的话，开始进行查询，查询的代码从242行开始

从接收POST参数user的值到，建立别名（$search_field_1, $search_field_2,$search_field_3），规定过滤器（$filter）（过滤器就是一个查询语句，类似于sql语句），语法规则如下：

返回可能会造成加载问题的所有对象：

objectClass=*

返回被指定为“person”的所有用户对象：

(&(objectClass=user)(objectCategory=person))

仅返回邮寄名单：

(objectCategory=group)

仅返回公开的文件夹：

(objectCategory=publicfolder)

返回所有用户对象，但排除主电子邮件地址已“test”开头的用户对象：

(&(&(objectClass=user)(objectCategory=person))(!(mail=test*)))

返回所有用户对象，但排除主电子邮件地址以“test”结尾的用户对象：

(&(&(objectClass=user)(objectCategory=person))(!(mail=*test)))

返回所有用户对象，但排除主电子邮件地址中包含字词“test”的用户对象：

(&(&(objectClass=user)(objectCategory=person))(!(mail=*test*)))

返回所有被指定为“person”，且属于某个群组或分配列表的所有用户对象和别名对象：

(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))

返回所有被指定为“person”的用户对象、所有群组对象，以及所有联系人，但排除任意值被定义为“extensionAttribute9”的对象：

(&(|(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))(objectClass=contact))(!(extensionAttribute9=*)))

返回所有 DN (CN=GRoup,OU=Users,DC=Domain,DC) 识别为群组成员的用户：

(&(objectClass=user)(objectCategory=person)(memberof=CN=Group,CN=Users,DC=Domain,DC=com))

返回所有用户：

Microsoft®Active Directory® LDAP 服务器：(&(objectCategory=person)(objectClass=user))

OpenLDAP™ 服务器：(objectClass=inetOrgPerson)

IBM® Notes®Domino LDAP 服务器：(objectClass=dominoPerson)

在 IBM Notes Domino LDAP 中搜索邮件地址被定义为“person”或“group”的所有对象：

(&(|(objectClass=dominoPerson)(objectClass=dominoGroup)(objectClass=dominoServerMailInDatabase))(mail=*))

ActiveDirectory：返回所有拥有电子邮件地址的有效（未停用）用户：

(&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

返回所有群组 DN 识别为 Group_1 或Group_2 成员的用户。

(&(objectClass=user)(objectCategory=person)(|(memberof=CN=Group_1,cn=Users,DC=Domain,DC=com)(memberof=CN=Group_2,cn=Users,DC=Domain,DC=com)))

返回 extensionAttribute1 值为“Engineering”或“Sales”的所有用户

(&(objectCategory=user)(|(extensionAttribute1=Engineering)(extensionAttribute1=Sales)))

语法规则介绍完毕，接着分析从267开始的代码

$ldap_fields_to_find定义一个数组，便于打印输出表格，和接收ldap查询到的结果，将$ldap_fields_to_find作为ldap_search函数的第四个参数，表示用这个别名保存接收到的结果，即键值对形式，接着将结果返回到$info这个数组中，最后将各个键对应到从287行到291行的各个变量，最后循环输出，打印表格，至此，查询完毕。

LDAP注入拼接语法的简单介绍

既然LDAP过滤器类似于sql查询语句，那么直接看bwapp中的过滤器如何写就行了。直接看ldapi.php文件中的$filter变量：

$filter="(|($search_field_1=$search_for)($search_field_2=$search_for)($search_field_3=$search_for))";

sql语句的精髓在于拼接单引号，ldap语句的精髓在于拼接括号。

现在我想要查询所有的用户，直接在user处输入*就行，那么$filter就会变成$filter="(|($search_field_1=*)($search_field_2=*)($search_field_3=*))";

看一下bwapp中的结果

返回了很多用户但是不够，因为我想看到我的管理员，那么我就要构造这样的LDAP过滤器。

$filter="(|($search_field_1=*)(objectclass=*)($search_field_2=*)($search_field_3=*))";

这样我就能查询所有的用户，包括管理员，objectclass=*的意思就是只要存在就搜索，即全局。

那么在user处输入*)(objectclass=*就行

看下结果，出现了管理员，注入成功。

# 的是  # 都是  # 第一个  # 群组  # 默认值  # 判断是否  # 绑定  # 提示信息  # 就行  # 第二个 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： 公司门户网站制作流程,华为官网怎么做？  深圳网站制作设计招聘,关于服装设计的流行趋势，哪里的资料比较全面？  网站制作报价单模板图片,小松挖机官方网站报价？  Laravel如何实现数据导出到CSV文件_Laravel原生流式输出大数据量CSV【方案】  Swift中swift中的switch 语句  jimdo怎样用html5做选项卡_jimdo选项卡html5实现与切换效果【指南】  Laravel如何使用Facades（门面）及其工作原理_Laravel门面模式与底层机制  Laravel如何将应用部署到生产服务器_Laravel生产环境部署流程  非常酷的网站设计制作软件,酷培ai教育官方网站？  Win11任务栏卡死怎么办 Windows11任务栏无反应解决方法【教程】  Laravel Eloquent性能优化技巧_Laravel N+1查询问题解决  晋江文学城电脑版官网 晋江文学城网页版直接进入  canvas 画布在主流浏览器中的尺寸限制详细介绍  🚀拖拽式CMS建站能否实现高效与个性化并存？  制作无缝贴图网站有哪些,3dmax无缝贴图怎么调？  Laravel如何使用Sanctum进行API认证？（SPA实战）  香港服务器建站指南：外贸独立站搭建与跨境电商配置流程  如何快速搭建高效WAP手机网站？  微信小程序制作网站有哪些,微信小程序需要做网站吗？  如何快速查询网站的真实建站时间？  Laravel如何理解并使用服务容器（Service Container）_Laravel依赖注入与容器绑定说明  如何在云指建站中生成FTP站点？  Laravel中Service Container是做什么的_Laravel服务容器与依赖注入核心概念解析  百度输入法ai组件怎么删除 百度输入法ai组件移除工具  Bootstrap整体框架之JavaScript插件架构  如何撰写建站申请书？关键要点有哪些？  Laravel如何使用Service Container和依赖注入？（代码示例）  Linux系统命令中screen命令详解  学生网站制作软件,一个12岁的学生写小说，应该去什么样的网站？  常州企业网站制作公司,全国继续教育网怎么登录？  Python面向对象测试方法_mock解析【教程】  Laravel用户密码怎么加密_Laravel Hash门面使用教程  香港网站服务器数量如何影响SEO优化效果？  在线ppt制作网站有哪些软件,如何把网页的内容做成ppt？  使用PHP下载CSS文件中的所有图片【几行代码即可实现】  JS经典正则表达式笔试题汇总  如何自定义建站之星网站的导航菜单样式？  黑客如何利用漏洞与弱口令入侵网站服务器？  php8.4header发送头信息失败怎么办_php8.4header函数问题解决【解答】  高端企业智能建站程序：SEO优化与响应式模板定制开发  Laravel如何清理系统缓存命令_Laravel清除路由配置及视图缓存的方法【总结】  企业在线网站设计制作流程,想建设一个属于自己的企业网站，该如何去做？  如何打造高效商业网站？建站目的决定转化率  Laravel如何实现事件和监听器？（Event & Listener实战）  如何在 React 中条件性地遍历数组并渲染元素  edge浏览器无法安装扩展 edge浏览器插件安装失败【解决方法】  Python文件异常处理策略_健壮性说明【指导】  专业型网站制作公司有哪些,我设计专业的，谁给推荐几个设计师兼职类的网站？  php结合redis实现高并发下的抢购、秒杀功能的实例  Android自定义listview布局实现上拉加载下拉刷新功能