51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

用 Go 写的轻量级 OpenLdap 弱密码检测工具

作者:Marionxue
开发 后端
通过go操作的ldap,这里使用到的是go-ldap[1]包,该包基本上实现了ldap v3的基本功能. 比如连接ldap服务、新增、删除、修改用户信息等,支持条件检索的ldap库中存储的数据信息。

[[426727]]

1 Go连接LDAP服务

通过go操作的ldap,这里使用到的是go-ldap[1]包,该包基本上实现了ldap v3的基本功能. 比如连接ldap服务、新增、删除、修改用户信息等,支持条件检索的ldap库中存储的数据信息。

2 下载

  1. go get github.com/go-ldap/ldap/v3 
  2. go get github.com/wxnacy/wgo/arrays 

使用go-ldap包,可以在gopkg.in/ldap.v3@v3.1.0#section-readme[2]查看说明文档

3 准备LDAP环境

这里通过docker-compose运行一个临时的ldap实验环境,

  1. version: "3" 
  2. services: 
  3.   ldap: 
  4.     image: osixia/openldap:latest 
  5.     container_name: openldap 
  6.     hostname: openldap 
  7.     restart: always 
  8.     environment: 
  9.       - "LDAP_ORGANISATION=devopsman" 
  10.       - "LDAP_DOMAIN=devopsman.cn" 
  11.       - "LDAP_BASE_DN=dc=devopsman,dc=cn" 
  12.       - "LDAP_ADMIN_PASSWORD=admin123" 
  13.     ports: 
  14.       - 389:389 
  15.       - 636:636 

可以按需修改对应的环境变量信息.可以在hub.docker.com[3]找到指定版本的镜像信息. 现在创建一下openldap并且检查一下服务的是否正常:

4 GO-LDAP案例实践

创建用户

在pkg.go.dev文档中查看,有一个Add方法可以完成创建用户的操作,但是需要一个AddRequest参数,而NewAddRequest方法可以返回AddRequest,于是按照此思路梳理一下。

首先要建立与openldap之间的连接,验证账号是否正常,同时此账号要有创建的权限。

  1. // LoginBind  connection ldap server and binding ldap server 
  2. func LoginBind(ldapUser, ldapPassword string) (*ldap.Conn, error) { 
  3.  l, err := ldap.DialURL(ldapURL) 
  4.  if err != nil { 
  5.   return nil, err 
  6.  } 
  7.  _, err = l.SimpleBind(&ldap.SimpleBindRequest{ 
  8.   Username: fmt.Sprintf("cn=%s,dc=devopsman,dc=cn", ldapUser), 
  9.   Password: ldapPassword, 
  10.  }) 
  11.  
  12.  if err != nil { 
  13.   fmt.Println("ldap password is error: ", ldap.LDAPResultInvalidCredentials) 
  14.   return nil, err 
  15.  } 
  16.  fmt.Println(ldapUser,"登录成功"
  17.  return l, nil 

其次,创建用户,需要准备用户的姓名、密码、sn、uid、gid等信息,可以创建一个struct结构

  1. type User struct { 
  2.  username    string 
  3.  password    string 
  4.  telephone   string 
  5.  emailSuffix string 
  6.  snUsername  string 
  7.  uid         string 
  8.  gid         string 

通过go-ldap包提供的NewAddRequest方法,可以返回新增请求

  1. func (user *User) addUser(conn *ldap.Conn) error { 
  2.  ldaprow := ldap.NewAddRequest(fmt.Sprintf("cn=%s,dc=devopsman,dc=cn"user.username), nil) 
  3.  ldaprow.Attribute("userPassword", []string{user.password}) 
  4.  ldaprow.Attribute("homeDirectory", []string{fmt.Sprintf("/home/%s"user.username)}) 
  5.  ldaprow.Attribute("cn", []string{user.username}) 
  6.  ldaprow.Attribute("uid", []string{user.username}) 
  7.  ldaprow.Attribute("objectClass", []string{"shadowAccount""posixAccount""account"}) 
  8.  ldaprow.Attribute("uidNumber", []string{"2201"}) 
  9.  ldaprow.Attribute("gidNumber", []string{"2201"}) 
  10.  ldaprow.Attribute("loginShell", []string{"/bin/bash"}) 
  11.  
  12.  if err := conn.Add(ldaprow); err != nil { 
  13.   return err 
  14.  } 
  15.  return nil 

最后,我们就可以通过实例化User这个对象,完成用户的创建了:

  1. func main() { 
  2.  con, err := LoginBind("admin""admin123"
  3.  fmt.Println(con.IsClosing()) 
  4.  if err != nil { 
  5.   fmt.Println("V"
  6.   fmt.Println(err) 
  7.  } 
  8.  var user User 
  9.  user.username="marionxue" 
  10.  user.password="admin123" 
  11.  user.snUsername="Marionxue" 
  12.  user.uid="1000" 
  13.  user.gid="1000" 
  14.  user.emailSuffix="@qq.com" 
  15.  
  16.  if err=user.addUser(con);err!=nil{ 
  17.   fmt.Println(err) 
  18.  } 
  19.  fmt.Println(user.username,"创建完成!"

最后运行就可以创建用户

  1. ... 
  2. /private/var/folders/jl/9zk5nj316rlg_0svp07w6btc0000gn/T/GoLand/___go_build_github_com_marionxue_go30_tools_go_openldap 
  3. admin登录成功 
  4. marionxue 创建完成! 

遍历用户

遍历用户依旧需要与openLDAP建立连接,因此我们复用LoginBind函数,创建一个获取账号的函数GetEmployees

  1. func GetEmployees(con *ldap.Conn) ([]string, error) { 
  2.  var employees []string 
  3.  sql := ldap.NewSearchRequest("dc=devopsman,dc=cn"
  4.   ldap.ScopeWholeSubtree, 
  5.   ldap.NeverDerefAliases, 
  6.   0, 
  7.   0, 
  8.   false
  9.   "(objectClass=*)"
  10.   []string{"dn""cn""objectClass"}, 
  11.   nil) 
  12.  
  13.  cur, err := con.Search(sql) 
  14.  if err != nil { 
  15.   return nil, err 
  16.  } 
  17.  
  18.  if len(cur.Entries) > 0 { 
  19.   for _, item := range cur.Entries { 
  20.    cn := item.GetAttributeValues("cn"
  21.    for _, iCn := range cn { 
  22.     employees = append(employees, strings.Split(iCn, "[")[0]) 
  23.    } 
  24.   } 
  25.   return employees, nil 
  26.  } 
  27.  return nil, nil 

我们通过NewSearchRequest检索BaseDB为dc=devopsman,dc=cn下的账号信息,最后将用户名cn打印出来

  1. func main() { 
  2.  con, err := LoginBind("admin""admin123"
  3.  if err != nil { 
  4.   fmt.Println("V"
  5.   fmt.Println(err) 
  6.  } 
  7.  employees, err := GetEmployees(con) 
  8.  if err != nil { 
  9.   fmt.Println(err) 
  10.  } 
  11.  for _, employe := range employees { 
  12.   fmt.Println(employe) 
  13.  
  14.  } 

结果就是我们前面创建的一个用户

  1. marionxue 

删除账号

同样的思路,然后创建一个删除方法delUser

  1. // delUser 删除用户 
  2. func (user *User) delUser(conn *ldap.Conn) error{ 
  3.  ldaprow := ldap.NewDelRequest(fmt.Sprintf("cn=%s,dc=devopsman,dc=cn",user.username),nil) 
  4.  
  5.  if err:= conn.Del(ldaprow);err!=nil{ 
  6.   return err 
  7.  } 
  8.  return nil 

然后在main函数中调用

  1. func main() { 
  2.  con, err := LoginBind("admin""admin123"
  3.  if err != nil { 
  4.   fmt.Println("V"
  5.   fmt.Println(err) 
  6.  } 
  7.  employees, err := GetEmployees(con) 
  8.  if err != nil { 
  9.   fmt.Println(err) 
  10.  } 
  11.  var user User 
  12.  user.username="marionxue" 
  13.  
  14.  if err:=user.delUser(con);err!=nil{ 
  15.   fmt.Println("用户删除失败"
  16.  } 
  17.  fmt.Println(user.username,"用户删除成功!"

运行结果:

  1. admin登录成功 
  2. marionxue 用户删除成功! 

弱密码检查

默认情况下,在ldap中创建用户,并没有密码复杂度的约束,因此对已存在ldap服务中使用弱密码的账号有什么好办法能获取出来吗?ldap的账号一旦创建,就看不到密码了,如果用弱密码字典模拟登录的话,是否可行呢?

创建一个检查密码的函数CheckPassword,通过逐行读取弱密码词典的数据进行的模拟登录,从而找到ldap中使用弱密码的账号:

  1. func CheckPassword(employe string) { 
  2.  // 遍历的弱密码字典 
  3.  f, err := os.Open("~/dict.txt"
  4.  if err != nil { 
  5.   fmt.Println("reading dict.txt error: ", err) 
  6.  } 
  7.  defer f.Close() 
  8.  scanner := bufio.NewScanner(f) 
  9.  for scanner.Scan() { 
  10.   weakpassword := scanner.Text() 
  11.   _, err := LoginBind(employe, weakpassword) 
  12.   if err == nil { 
  13.    fmt.Println(employe + " 使用的密码为: " + weakpassword) 
  14.   } 
  15.  } 
  16.  if err := scanner.Err(); err != nil { 
  17.   fmt.Println(err) 
  18.  } 
  19.  fmt.Println(employe + " check have aleardy finished. and the password is stronger well."
  20.  

结合前面说的遍历账号,拿到所有的账号的信息,然后模拟登录,如果命中了弱密码字典中的密码,就打印出来

  1. func main() { 
  2.  con, err := LoginBind("admin""admin123"
  3.  if err != nil { 
  4.   fmt.Println("V"
  5.   fmt.Println(err) 
  6.  } 
  7.  employees, err := GetEmployees(con) 
  8.  if err != nil { 
  9.   fmt.Println(err) 
  10.  } 
  11.  Whitelist := []string{"zhangsan","lisi"
  12.  for _, employe := range employees { 
  13.   fmt.Println("Starting check: ", employe) 
  14.   index := arrays.ContainsString(Whitelist, employe) 
  15.   if index == -1 { 
  16.    CheckPassword(employe) 
  17.   } else { 
  18.    fmt.Println(employe + " in whitelist. skiping..."
  19.   } 
  20.   fmt.Println(employe) 
  21.  } 

但是这样实际就是在攻击自己的服务,这里就会产生两个问题:

用户越多,弱密码字典里面的密码越多,检查的次数也就越多,耗时也就越长

每次模拟登录,实际上就会创建一个连接,虽然连接认证失败,但是也无疑加重服务器连接创建和销毁的资源损耗,你有调优思路没?

参考资料

[1]go-ldap: https://github.com/go-ldap/ldap

[2]go-ldap v3@3.1.0: https://pkg.go.dev/gopkg.in/ldap.v3@v3.1.0#section-readme

[3]osixia/openldap镜像仓库: https://hub.docker.com/r/osixia/openldap/tags

 

责任编辑:姜华 来源: 云原生生态圈
Go OpenLdap检测工具
相关推荐
开源域用户口令检测工具
很多大中型企业都用域来管理公司电脑,既方便又省力,同时又有很多系统用域账户来做登录验证,其重要性非同小可。站在渗透的角度来看,如果拿到某个一个域用户的账户就相当于公司的内网大门已经打开。

2014-06-06 10:01:31

Whoosh:Python 轻量级搜索工具
本文将简单介绍Python中的一个轻量级搜索工具Whoosh,并给出相应的使用示例代码。

2022-07-15 16:39:19

PythonWhoosh工具
揭秘 Go 中 Goroutines 轻量级并发
本文将全面概述Goroutines,它们的轻量级特性,如何使用go关键字创建它们,以及它们提出的同步挑战,包括竞态条件和共享数据问题。

2023-12-22 14:07:00

Go轻量级Goroutines
JSPrime:基于JavaScript DOM XSS检测轻量级代码审计工具
如今,随着前端技术人才需求的不断增加,越来越多的开发者逐渐将JavaScript作为其开发语言的第一选择。

2016-03-31 15:25:09

轻量级开源工具 Drone 完成小团队 CI/CD
本文讲述DroneCI的具体实践,结合Gitea,怎么在VPS里从零开始搭建一个基于Gitea+DroneCI的持续集成系统。

2022-06-06 15:18:41

开源GiteaDrone
替代Google Analytics轻量级分析工具
GoatCounter是2019年8月推出的最新网络分析工具之一。由MartinTournoij创建,与其他工具相比,它具有更多的“由个人开发人员制作”的感觉。它的功能比其他的要少一些,但它对开发人员友好并且易于设置。

2020-06-19 15:38:08

分析工具GoatCounter开发
AI整顿AI?这些检测工具了解了解
自生成式AI创作机器人出现以来,各行各业都开始用来撰写文章甚至学术论文,针对该情况,一些AI内容检测工具也随之诞生,一起看看吧

2023-11-06 13:08:45

reflected_xss检测工具介绍
xss代码出现在URL中,浏览器访问这个url后,服务端响应的内容中包含有这段xss代码,这样的xss被称作反射型xss。

2014-04-15 17:03:00

Linux下IDS入侵检测工具
简单介绍几款Linux下的IDS入侵检测工具psad、Apparmor、SELinuxu等.在之前的文章里也曾对入侵检测系统简介进行过介绍。我们可以先去了解一下入侵检测系统原理和实践。

2009-06-03 14:15:34

使用轻量级密码技术保护物联网设备
轻量级密码旨在使对称密码学尽可能小和节能,同时保持足够的安全性,以便短寿命或低成本设备仍然可以安全运行

2023-03-03 10:21:17

企业如何评估入侵检测工具?
在投资于入侵检测和防御系统之前,请一定要本文中所述的这5个考虑因素,并在评估入侵检测系统时牢记这些因素。

2015-03-13 09:10:29

如何使用Lighthouse性能检测工具
最近做性能检测工具,很多知识点不清楚,打算查缺补漏,接下来从官方提供的性能检测工具Lighthouse(灯塔)开始我们的学习,简单介绍了下Lighthouse的一些点。

2021-04-14 08:20:46

Lighthouse工具性能检测
Linux 性能检测工具Vmstat命令
Linux性能检测工具Vmstat命令提供了对进程、内存、页面IO块和CPU等信息的监控,vmstat可以显示检测结果的平均值或者取样值,取样模式可以提供一个取样时间段内不同频率的监测结果。

2010-06-04 10:30:15

Linux 性能检测
WebLog Expert:网站流量检测工具
WebLogExpert是一款专门用来对繁杂的WEB服务器日志文件进行综合分析的软件。它可以对你网站的来访者进行详细统计:当前活动会话统计、文件存取统计、搜索使用情况统计、浏览器操作系统统计、错误统计等。通过HTML形式的表格和图表报告,你可以对网站的各种情况有一个直观的了解。

2011-01-11 13:58:32

WebLog ExpeWEB服务器流量记录
Linux 性能检测工具Top详解
Top显示了实际CPU使用情况,默认情况下显示服务器上占用CPU的任务信息并且每5秒钟刷新一次。可以通过多种方式分类它们,包括PID、时间和内存使用情况。

2010-06-04 10:09:29

Linux 性能检测
Go 语言实现轻量级 Linux 虚拟机
Lima是一个功能强大且易于使用的Linux虚拟机工具,它为macOS用户提供了一种在本地运行Linux和容器化应用的便捷方式。如果你正在寻找一种轻量级、易于使用且功能强大的虚拟化解决方案,那么Lima绝对值得一试。

2024-08-26 14:32:43

简介Linux中IDS入侵检测工具
如果我们应用电脑,使用的是Linux操作系统。对你而言花费大量的工夫仔细审查系统的弱点和问题是完全可能的。可能你并不真得希望这样,但却有此可能。这就需要IDS入侵检测工具。

2009-12-17 17:31:10

被官方检测工具整哭?第三方Windows 11检测工具来了
在受够了微软N小时气后,终于有大神开发出了一套第三方检测工具。这款名为WhynotWin11的小软件,可以提供比官方更好的检测功能。

2021-07-01 05:17:52

Windows 11操作系统微软
五个新Java异常检测工具
应用程序失败的原因有很多,有一些工具可以解决每一个可能的错误源,例如日志管理工具、错误跟踪器、性能监视解决方案等等。在下面的文章中,我们将介绍一些工具,这些工具专注于检测和预测异常何时可能发生。

2021-12-13 16:16:42

Java开发工具
技术|轻量级人脸检测算法实现大盘点
本文总结了近年轻量级人脸检测算法的开源实现,其中不少已经成为开源社区的明星项目。

2020-11-02 11:24:52

算法人脸识别技术
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服