51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

用 Go 写的轻量级 OpenLdap 弱密码检测工具

作者:Marionxue
开发 后端
通过go操作的ldap,这里使用到的是go-ldap[1]包,该包基本上实现了ldap v3的基本功能. 比如连接ldap服务、新增、删除、修改用户信息等,支持条件检索的ldap库中存储的数据信息。

[[426727]]

1 Go连接LDAP服务

通过go操作的ldap,这里使用到的是go-ldap[1]包,该包基本上实现了ldap v3的基本功能. 比如连接ldap服务、新增、删除、修改用户信息等,支持条件检索的ldap库中存储的数据信息。

2 下载

  1. go get github.com/go-ldap/ldap/v3 
  2. go get github.com/wxnacy/wgo/arrays 

使用go-ldap包,可以在gopkg.in/ldap.v3@v3.1.0#section-readme[2]查看说明文档

3 准备LDAP环境

这里通过docker-compose运行一个临时的ldap实验环境,

  1. version: "3" 
  2. services: 
  3.   ldap: 
  4.     image: osixia/openldap:latest 
  5.     container_name: openldap 
  6.     hostname: openldap 
  7.     restart: always 
  8.     environment: 
  9.       - "LDAP_ORGANISATION=devopsman" 
  10.       - "LDAP_DOMAIN=devopsman.cn" 
  11.       - "LDAP_BASE_DN=dc=devopsman,dc=cn" 
  12.       - "LDAP_ADMIN_PASSWORD=admin123" 
  13.     ports: 
  14.       - 389:389 
  15.       - 636:636 

可以按需修改对应的环境变量信息.可以在hub.docker.com[3]找到指定版本的镜像信息. 现在创建一下openldap并且检查一下服务的是否正常:

4 GO-LDAP案例实践

创建用户

在pkg.go.dev文档中查看,有一个Add方法可以完成创建用户的操作,但是需要一个AddRequest参数,而NewAddRequest方法可以返回AddRequest,于是按照此思路梳理一下。

首先要建立与openldap之间的连接,验证账号是否正常,同时此账号要有创建的权限。

  1. // LoginBind  connection ldap server and binding ldap server 
  2. func LoginBind(ldapUser, ldapPassword string) (*ldap.Conn, error) { 
  3.  l, err := ldap.DialURL(ldapURL) 
  4.  if err != nil { 
  5.   return nil, err 
  6.  } 
  7.  _, err = l.SimpleBind(&ldap.SimpleBindRequest{ 
  8.   Username: fmt.Sprintf("cn=%s,dc=devopsman,dc=cn", ldapUser), 
  9.   Password: ldapPassword, 
  10.  }) 
  11.  
  12.  if err != nil { 
  13.   fmt.Println("ldap password is error: ", ldap.LDAPResultInvalidCredentials) 
  14.   return nil, err 
  15.  } 
  16.  fmt.Println(ldapUser,"登录成功"
  17.  return l, nil 

其次,创建用户,需要准备用户的姓名、密码、sn、uid、gid等信息,可以创建一个struct结构

  1. type User struct { 
  2.  username    string 
  3.  password    string 
  4.  telephone   string 
  5.  emailSuffix string 
  6.  snUsername  string 
  7.  uid         string 
  8.  gid         string 

通过go-ldap包提供的NewAddRequest方法,可以返回新增请求

  1. func (user *User) addUser(conn *ldap.Conn) error { 
  2.  ldaprow := ldap.NewAddRequest(fmt.Sprintf("cn=%s,dc=devopsman,dc=cn"user.username), nil) 
  3.  ldaprow.Attribute("userPassword", []string{user.password}) 
  4.  ldaprow.Attribute("homeDirectory", []string{fmt.Sprintf("/home/%s"user.username)}) 
  5.  ldaprow.Attribute("cn", []string{user.username}) 
  6.  ldaprow.Attribute("uid", []string{user.username}) 
  7.  ldaprow.Attribute("objectClass", []string{"shadowAccount""posixAccount""account"}) 
  8.  ldaprow.Attribute("uidNumber", []string{"2201"}) 
  9.  ldaprow.Attribute("gidNumber", []string{"2201"}) 
  10.  ldaprow.Attribute("loginShell", []string{"/bin/bash"}) 
  11.  
  12.  if err := conn.Add(ldaprow); err != nil { 
  13.   return err 
  14.  } 
  15.  return nil 

最后,我们就可以通过实例化User这个对象,完成用户的创建了:

  1. func main() { 
  2.  con, err := LoginBind("admin""admin123"
  3.  fmt.Println(con.IsClosing()) 
  4.  if err != nil { 
  5.   fmt.Println("V"
  6.   fmt.Println(err) 
  7.  } 
  8.  var user User 
  9.  user.username="marionxue" 
  10.  user.password="admin123" 
  11.  user.snUsername="Marionxue" 
  12.  user.uid="1000" 
  13.  user.gid="1000" 
  14.  user.emailSuffix="@qq.com" 
  15.  
  16.  if err=user.addUser(con);err!=nil{ 
  17.   fmt.Println(err) 
  18.  } 
  19.  fmt.Println(user.username,"创建完成!"

最后运行就可以创建用户

  1. ... 
  2. /private/var/folders/jl/9zk5nj316rlg_0svp07w6btc0000gn/T/GoLand/___go_build_github_com_marionxue_go30_tools_go_openldap 
  3. admin登录成功 
  4. marionxue 创建完成! 

遍历用户

遍历用户依旧需要与openLDAP建立连接,因此我们复用LoginBind函数,创建一个获取账号的函数GetEmployees

  1. func GetEmployees(con *ldap.Conn) ([]string, error) { 
  2.  var employees []string 
  3.  sql := ldap.NewSearchRequest("dc=devopsman,dc=cn"
  4.   ldap.ScopeWholeSubtree, 
  5.   ldap.NeverDerefAliases, 
  6.   0, 
  7.   0, 
  8.   false
  9.   "(objectClass=*)"
  10.   []string{"dn""cn""objectClass"}, 
  11.   nil) 
  12.  
  13.  cur, err := con.Search(sql) 
  14.  if err != nil { 
  15.   return nil, err 
  16.  } 
  17.  
  18.  if len(cur.Entries) > 0 { 
  19.   for _, item := range cur.Entries { 
  20.    cn := item.GetAttributeValues("cn"
  21.    for _, iCn := range cn { 
  22.     employees = append(employees, strings.Split(iCn, "[")[0]) 
  23.    } 
  24.   } 
  25.   return employees, nil 
  26.  } 
  27.  return nil, nil 

我们通过NewSearchRequest检索BaseDB为dc=devopsman,dc=cn下的账号信息,最后将用户名cn打印出来

  1. func main() { 
  2.  con, err := LoginBind("admin""admin123"
  3.  if err != nil { 
  4.   fmt.Println("V"
  5.   fmt.Println(err) 
  6.  } 
  7.  employees, err := GetEmployees(con) 
  8.  if err != nil { 
  9.   fmt.Println(err) 
  10.  } 
  11.  for _, employe := range employees { 
  12.   fmt.Println(employe) 
  13.  
  14.  } 

结果就是我们前面创建的一个用户

  1. marionxue 

删除账号

同样的思路,然后创建一个删除方法delUser

  1. // delUser 删除用户 
  2. func (user *User) delUser(conn *ldap.Conn) error{ 
  3.  ldaprow := ldap.NewDelRequest(fmt.Sprintf("cn=%s,dc=devopsman,dc=cn",user.username),nil) 
  4.  
  5.  if err:= conn.Del(ldaprow);err!=nil{ 
  6.   return err 
  7.  } 
  8.  return nil 

然后在main函数中调用

  1. func main() { 
  2.  con, err := LoginBind("admin""admin123"
  3.  if err != nil { 
  4.   fmt.Println("V"
  5.   fmt.Println(err) 
  6.  } 
  7.  employees, err := GetEmployees(con) 
  8.  if err != nil { 
  9.   fmt.Println(err) 
  10.  } 
  11.  var user User 
  12.  user.username="marionxue" 
  13.  
  14.  if err:=user.delUser(con);err!=nil{ 
  15.   fmt.Println("用户删除失败"
  16.  } 
  17.  fmt.Println(user.username,"用户删除成功!"

运行结果:

  1. admin登录成功 
  2. marionxue 用户删除成功! 

弱密码检查

默认情况下,在ldap中创建用户,并没有密码复杂度的约束,因此对已存在ldap服务中使用弱密码的账号有什么好办法能获取出来吗?ldap的账号一旦创建,就看不到密码了,如果用弱密码字典模拟登录的话,是否可行呢?

创建一个检查密码的函数CheckPassword,通过逐行读取弱密码词典的数据进行的模拟登录,从而找到ldap中使用弱密码的账号:

  1. func CheckPassword(employe string) { 
  2.  // 遍历的弱密码字典 
  3.  f, err := os.Open("~/dict.txt"
  4.  if err != nil { 
  5.   fmt.Println("reading dict.txt error: ", err) 
  6.  } 
  7.  defer f.Close() 
  8.  scanner := bufio.NewScanner(f) 
  9.  for scanner.Scan() { 
  10.   weakpassword := scanner.Text() 
  11.   _, err := LoginBind(employe, weakpassword) 
  12.   if err == nil { 
  13.    fmt.Println(employe + " 使用的密码为: " + weakpassword) 
  14.   } 
  15.  } 
  16.  if err := scanner.Err(); err != nil { 
  17.   fmt.Println(err) 
  18.  } 
  19.  fmt.Println(employe + " check have aleardy finished. and the password is stronger well."
  20.  

结合前面说的遍历账号,拿到所有的账号的信息,然后模拟登录,如果命中了弱密码字典中的密码,就打印出来

  1. func main() { 
  2.  con, err := LoginBind("admin""admin123"
  3.  if err != nil { 
  4.   fmt.Println("V"
  5.   fmt.Println(err) 
  6.  } 
  7.  employees, err := GetEmployees(con) 
  8.  if err != nil { 
  9.   fmt.Println(err) 
  10.  } 
  11.  Whitelist := []string{"zhangsan","lisi"
  12.  for _, employe := range employees { 
  13.   fmt.Println("Starting check: ", employe) 
  14.   index := arrays.ContainsString(Whitelist, employe) 
  15.   if index == -1 { 
  16.    CheckPassword(employe) 
  17.   } else { 
  18.    fmt.Println(employe + " in whitelist. skiping..."
  19.   } 
  20.   fmt.Println(employe) 
  21.  } 

但是这样实际就是在攻击自己的服务,这里就会产生两个问题:

用户越多,弱密码字典里面的密码越多,检查的次数也就越多,耗时也就越长

每次模拟登录,实际上就会创建一个连接,虽然连接认证失败,但是也无疑加重服务器连接创建和销毁的资源损耗,你有调优思路没?

参考资料

[1]go-ldap: https://github.com/go-ldap/ldap

[2]go-ldap v3@3.1.0: https://pkg.go.dev/gopkg.in/ldap.v3@v3.1.0#section-readme

[3]osixia/openldap镜像仓库: https://hub.docker.com/r/osixia/openldap/tags

 

责任编辑:姜华 来源: 云原生生态圈
Go OpenLdap检测工具
相关推荐
开源域用户口令检测工具
很多大中型企业都用域来管理公司电脑,既方便又省力,同时又有很多系统用域账户来做登录验证,其重要性非同小可。站在渗透的角度来看,如果拿到某个一个域用户的账户就相当于公司的内网大门已经打开。

2014-06-06 10:01:31

Whoosh:Python 轻量级搜索工具
本文将简单介绍Python中的一个轻量级搜索工具Whoosh,并给出相应的使用示例代码。

2022-07-15 16:39:19

PythonWhoosh工具
揭秘 Go 中 Goroutines 轻量级并发
本文将全面概述Goroutines,它们的轻量级特性,如何使用go关键字创建它们,以及它们提出的同步挑战,包括竞态条件和共享数据问题。

2023-12-22 14:07:00

Go轻量级Goroutines
JSPrime:基于JavaScript DOM XSS检测轻量级代码审计工具
如今,随着前端技术人才需求的不断增加,越来越多的开发者逐渐将JavaScript作为其开发语言的第一选择。

2016-03-31 15:25:09

轻量级开源工具 Drone 完成小团队 CI/CD
本文讲述DroneCI的具体实践,结合Gitea,怎么在VPS里从零开始搭建一个基于Gitea+DroneCI的持续集成系统。

2022-06-06 15:18:41

开源GiteaDrone
AI整顿AI?这些检测工具了解了解
自生成式AI创作机器人出现以来,各行各业都开始用来撰写文章甚至学术论文,针对该情况,一些AI内容检测工具也随之诞生,一起看看吧

2023-11-06 13:08:45

Linux下IDS入侵检测工具
简单介绍几款Linux下的IDS入侵检测工具psad、Apparmor、SELinuxu等.在之前的文章里也曾对入侵检测系统简介进行过介绍。我们可以先去了解一下入侵检测系统原理和实践。

2009-06-03 14:15:34

替代Google Analytics轻量级分析工具
GoatCounter是2019年8月推出的最新网络分析工具之一。由MartinTournoij创建,与其他工具相比,它具有更多的“由个人开发人员制作”的感觉。它的功能比其他的要少一些,但它对开发人员友好并且易于设置。

2020-06-19 15:38:08

分析工具GoatCounter开发
Linux 性能检测工具Vmstat命令
Linux性能检测工具Vmstat命令提供了对进程、内存、页面IO块和CPU等信息的监控,vmstat可以显示检测结果的平均值或者取样值,取样模式可以提供一个取样时间段内不同频率的监测结果。

2010-06-04 10:30:15

Linux 性能检测
Linux 性能检测工具Top详解
Top显示了实际CPU使用情况,默认情况下显示服务器上占用CPU的任务信息并且每5秒钟刷新一次。可以通过多种方式分类它们,包括PID、时间和内存使用情况。

2010-06-04 10:09:29

Linux 性能检测
WebLog Expert:网站流量检测工具
WebLogExpert是一款专门用来对繁杂的WEB服务器日志文件进行综合分析的软件。它可以对你网站的来访者进行详细统计:当前活动会话统计、文件存取统计、搜索使用情况统计、浏览器操作系统统计、错误统计等。通过HTML形式的表格和图表报告,你可以对网站的各种情况有一个直观的了解。

2011-01-11 13:58:32

WebLog ExpeWEB服务器流量记录
reflected_xss检测工具介绍
xss代码出现在URL中,浏览器访问这个url后,服务端响应的内容中包含有这段xss代码,这样的xss被称作反射型xss。

2014-04-15 17:03:00

五个新Java异常检测工具
应用程序失败的原因有很多,有一些工具可以解决每一个可能的错误源,例如日志管理工具、错误跟踪器、性能监视解决方案等等。在下面的文章中,我们将介绍一些工具,这些工具专注于检测和预测异常何时可能发生。

2021-12-13 16:16:42

Java开发工具
使用轻量级密码技术保护物联网设备
轻量级密码旨在使对称密码学尽可能小和节能,同时保持足够的安全性,以便短寿命或低成本设备仍然可以安全运行

2023-03-03 10:21:17

如何使用Lighthouse性能检测工具
最近做性能检测工具,很多知识点不清楚,打算查缺补漏,接下来从官方提供的性能检测工具Lighthouse(灯塔)开始我们的学习,简单介绍了下Lighthouse的一些点。

2021-04-14 08:20:46

Lighthouse工具性能检测
企业如何评估入侵检测工具?
在投资于入侵检测和防御系统之前,请一定要本文中所述的这5个考虑因素,并在评估入侵检测系统时牢记这些因素。

2015-03-13 09:10:29

RSA 2014:内部威胁检测工具是成功检测关键
无论企业是刚刚开始制定计划来缓解内部威胁风险,还是已经部署了这样的计划,如果没有可靠的内部威胁检测工具,企业的内部威胁缓解计划将很难取得成功。

2014-02-27 17:17:56

RSA2014内部威胁威胁检测
被官方检测工具整哭?第三方Windows 11检测工具来了
在受够了微软N小时气后,终于有大神开发出了一套第三方检测工具。这款名为WhynotWin11的小软件,可以提供比官方更好的检测功能。

2021-07-01 05:17:52

Windows 11操作系统微软
简介Linux中IDS入侵检测工具
如果我们应用电脑,使用的是Linux操作系统。对你而言花费大量的工夫仔细审查系统的弱点和问题是完全可能的。可能你并不真得希望这样,但却有此可能。这就需要IDS入侵检测工具。

2009-12-17 17:31:10

Linux 性能检测工具Uptime简单介绍
Linux性能检测工具UptimeUptime命令的显示结果包括服务器已经运行了多长时间,有多少登陆用户和对服务器性能的总体评估(loadaverage)。

2010-06-04 09:59:37

Linux 性能检测
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服