用Go写的轻量级OpenLdap弱密码检测工具

1 Go连接LDAP服务

通过go操作的ldap,这里使用到的是go-ldap[1]包,该包基本上实现了ldap v3的基本功能. 比如连接ldap服务、新增、删除、修改用户信息等,支持条件检索的ldap库中存储的数据信息。

在蒲江县等地区,都构建了全面的区域性战略布局,加强发展的系统性、市场前瞻性、产品创新能力,以专注、极致的服务理念,为客户提供成都网站制作、成都网站设计 网站设计制作按需网站设计,公司网站建设,企业网站建设,成都品牌网站建设,营销型网站,成都外贸网站建设,蒲江县网站建设费用合理。

2 下载

 
 
 
 
  1. go get github.com/go-ldap/ldap/v3
  2. go get github.com/wxnacy/wgo/arrays

使用go-ldap包,可以在gopkg.in/ldap.v3@v3.1.0#section-readme[2]查看说明文档

3 准备LDAP环境

这里通过docker-compose运行一个临时的ldap实验环境,

 
 
 
 
  1. version: "3"
  2. services:
  3.   ldap:
  4.     image: osixia/openldap:latest
  5.     container_name: openldap
  6.     hostname: openldap
  7.     restart: always
  8.     environment:
  9.       - "LDAP_ORGANISATION=devopsman"
  10.       - "LDAP_DOMAIN=devopsman.cn"
  11.       - "LDAP_BASE_DN=dc=devopsman,dc=cn"
  12.       - "LDAP_ADMIN_PASSWORD=admin123"
  13.     ports:
  14.       - 389:389
  15.       - 636:636

可以按需修改对应的环境变量信息.可以在hub.docker.com[3]找到指定版本的镜像信息. 现在创建一下openldap并且检查一下服务的是否正常:

4 GO-LDAP案例实践

创建用户

在pkg.go.dev文档中查看,有一个Add方法可以完成创建用户的操作,但是需要一个AddRequest参数,而NewAddRequest方法可以返回AddRequest,于是按照此思路梳理一下。

首先要建立与openldap之间的连接,验证账号是否正常,同时此账号要有创建的权限。

 
 
 
 
  1. // LoginBind  connection ldap server and binding ldap server
  2. func LoginBind(ldapUser, ldapPassword string) (*ldap.Conn, error) {
  3.  l, err := ldap.DialURL(ldapURL)
  4.  if err != nil {
  5.   return nil, err
  6.  }
  7.  _, err = l.SimpleBind(&ldap.SimpleBindRequest{
  8.   Username: fmt.Sprintf("cn=%s,dc=devopsman,dc=cn", ldapUser),
  9.   Password: ldapPassword,
  10.  })
  11.  if err != nil {
  12.   fmt.Println("ldap password is error: ", ldap.LDAPResultInvalidCredentials)
  13.   return nil, err
  14.  }
  15.  fmt.Println(ldapUser,"登录成功")
  16.  return l, nil
  17. }

其次,创建用户,需要准备用户的姓名、密码、sn、uid、gid等信息,可以创建一个struct结构

 
 
 
 
  1. type User struct {
  2.  username    string
  3.  password    string
  4.  telephone   string
  5.  emailSuffix string
  6.  snUsername  string
  7.  uid         string
  8.  gid         string
  9. }

通过go-ldap包提供的NewAddRequest方法,可以返回新增请求

 
 
 
 
  1. func (user *User) addUser(conn *ldap.Conn) error {
  2.  ldaprow := ldap.NewAddRequest(fmt.Sprintf("cn=%s,dc=devopsman,dc=cn", user.username), nil)
  3.  ldaprow.Attribute("userPassword", []string{user.password})
  4.  ldaprow.Attribute("homeDirectory", []string{fmt.Sprintf("/home/%s", user.username)})
  5.  ldaprow.Attribute("cn", []string{user.username})
  6.  ldaprow.Attribute("uid", []string{user.username})
  7.  ldaprow.Attribute("objectClass", []string{"shadowAccount", "posixAccount", "account"})
  8.  ldaprow.Attribute("uidNumber", []string{"2201"})
  9.  ldaprow.Attribute("gidNumber", []string{"2201"})
  10.  ldaprow.Attribute("loginShell", []string{"/bin/bash"})
  11.  if err := conn.Add(ldaprow); err != nil {
  12.   return err
  13.  }
  14.  return nil
  15. }

最后,我们就可以通过实例化User这个对象,完成用户的创建了:

 
 
 
 
  1. func main() {
  2.  con, err := LoginBind("admin", "admin123")
  3.  fmt.Println(con.IsClosing())
  4.  if err != nil {
  5.   fmt.Println("V")
  6.   fmt.Println(err)
  7.  }
  8.  var user User
  9.  user.username="marionxue"
  10.  user.password="admin123"
  11.  user.snUsername="Marionxue"
  12.  user.uid="1000"
  13.  user.gid="1000"
  14.  user.emailSuffix="@qq.com"
  15.  if err=user.addUser(con);err!=nil{
  16.   fmt.Println(err)
  17.  }
  18.  fmt.Println(user.username,"创建完成!")
  19. }

最后运行就可以创建用户

 
 
 
 
  1. ...
  2. /private/var/folders/jl/9zk5nj316rlg_0svp07w6btc0000gn/T/GoLand/___go_build_github_com_marionxue_go30_tools_go_openldap
  3. admin登录成功
  4. marionxue 创建完成!

遍历用户

遍历用户依旧需要与openLDAP建立连接,因此我们复用LoginBind函数,创建一个获取账号的函数GetEmployees

 
 
 
 
  1. func GetEmployees(con *ldap.Conn) ([]string, error) {
  2.  var employees []string
  3.  sql := ldap.NewSearchRequest("dc=devopsman,dc=cn",
  4.   ldap.ScopeWholeSubtree,
  5.   ldap.NeverDerefAliases,
  6.   0,
  7.   0,
  8.   false,
  9.   "(objectClass=*)",
  10.   []string{"dn", "cn", "objectClass"},
  11.   nil)
  12.  cur, err := con.Search(sql)
  13.  if err != nil {
  14.   return nil, err
  15.  }
  16.  if len(cur.Entries) > 0 {
  17.   for _, item := range cur.Entries {
  18.    cn := item.GetAttributeValues("cn")
  19.    for _, iCn := range cn {
  20.     employees = append(employees, strings.Split(iCn, "[")[0])
  21.    }
  22.   }
  23.   return employees, nil
  24.  }
  25.  return nil, nil
  26. }

我们通过NewSearchRequest检索BaseDB为dc=devopsman,dc=cn下的账号信息,最后将用户名cn打印出来

 
 
 
 
  1. func main() {
  2.  con, err := LoginBind("admin", "admin123")
  3.  if err != nil {
  4.   fmt.Println("V")
  5.   fmt.Println(err)
  6.  }
  7.  employees, err := GetEmployees(con)
  8.  if err != nil {
  9.   fmt.Println(err)
  10.  }
  11.  for _, employe := range employees {
  12.   fmt.Println(employe)
  13.  }
  14. }

结果就是我们前面创建的一个用户

 
 
 
 
  1. marionxue

删除账号

同样的思路,然后创建一个删除方法delUser

 
 
 
 
  1. // delUser 删除用户
  2. func (user *User) delUser(conn *ldap.Conn) error{
  3.  ldaprow := ldap.NewDelRequest(fmt.Sprintf("cn=%s,dc=devopsman,dc=cn",user.username),nil)
  4.  if err:= conn.Del(ldaprow);err!=nil{
  5.   return err
  6.  }
  7.  return nil
  8. }

然后在main函数中调用

 
 
 
 
  1. func main() {
  2.  con, err := LoginBind("admin", "admin123")
  3.  if err != nil {
  4.   fmt.Println("V")
  5.   fmt.Println(err)
  6.  }
  7.  employees, err := GetEmployees(con)
  8.  if err != nil {
  9.   fmt.Println(err)
  10.  }
  11.  var user User
  12.  user.username="marionxue"
  13.  if err:=user.delUser(con);err!=nil{
  14.   fmt.Println("用户删除失败")
  15.  }
  16.  fmt.Println(user.username,"用户删除成功!")
  17. }

运行结果:

 
 
 
 
  1. admin登录成功
  2. marionxue 用户删除成功!

弱密码检查

默认情况下,在ldap中创建用户,并没有密码复杂度的约束,因此对已存在ldap服务中使用弱密码的账号有什么好办法能获取出来吗?ldap的账号一旦创建,就看不到密码了,如果用弱密码字典模拟登录的话,是否可行呢?

创建一个检查密码的函数CheckPassword,通过逐行读取弱密码词典的数据进行的模拟登录,从而找到ldap中使用弱密码的账号:

 
 
 
 
  1. func CheckPassword(employe string) {
  2.  // 遍历的弱密码字典
  3.  f, err := os.Open("~/dict.txt")
  4.  if err != nil {
  5.   fmt.Println("reading dict.txt error: ", err)
  6.  }
  7.  defer f.Close()
  8.  scanner := bufio.NewScanner(f)
  9.  for scanner.Scan() {
  10.   weakpassword := scanner.Text()
  11.   _, err := LoginBind(employe, weakpassword)
  12.   if err == nil {
  13.    fmt.Println(employe + " 使用的密码为: " + weakpassword)
  14.   }
  15.  }
  16.  if err := scanner.Err(); err != nil {
  17.   fmt.Println(err)
  18.  }
  19.  fmt.Println(employe + " check have aleardy finished. and the password is stronger well.")
  20. }

结合前面说的遍历账号,拿到所有的账号的信息,然后模拟登录,如果命中了弱密码字典中的密码,就打印出来

 
 
 
 
  1. func main() {
  2.  con, err := LoginBind("admin", "admin123")
  3.  if err != nil {
  4.   fmt.Println("V")
  5.   fmt.Println(err)
  6.  }
  7.  employees, err := GetEmployees(con)
  8.  if err != nil {
  9.   fmt.Println(err)
  10.  }
  11.  Whitelist := []string{"zhangsan","lisi"}
  12.  for _, employe := range employees {
  13.   fmt.Println("Starting check: ", employe)
  14.   index := arrays.ContainsString(Whitelist, employe)
  15.   if index == -1 {
  16.    CheckPassword(employe)
  17.   } else {
  18.    fmt.Println(employe + " in whitelist. skiping...")
  19.   }
  20.   fmt.Println(employe)
  21.  }
  22. }

但是这样实际就是在攻击自己的服务,这里就会产生两个问题:

用户越多,弱密码字典里面的密码越多,检查的次数也就越多,耗时也就越长

每次模拟登录,实际上就会创建一个连接,虽然连接认证失败,但是也无疑加重服务器连接创建和销毁的资源损耗,你有调优思路没?

参考资料

[1]go-ldap: https://github.com/go-ldap/ldap

[2]go-ldap v3@3.1.0: https://pkg.go.dev/gopkg.in/ldap.v3@v3.1.0#section-readme

[3]osixia/openldap镜像仓库: https://hub.docker.com/r/osixia/openldap/tags

网站名称:用Go写的轻量级OpenLdap弱密码检测工具
分享链接:http://www.csdahua.cn/qtweb/news46/513746.html

网站建设、网络推广公司-快上网,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 快上网