利用Go语言实现轻量级OpenLdap弱密码检测工具

目录
  • 1.Go连接LDAP服务
  • 2.下载
  • 3.准备LDAP环境
  • 4.GO-LDAP案例实践
    • 创建用户
    • 遍历用户
    • 删除账号
    • 弱密码检查

1.Go连接LDAP服务

通过go操作的ldap,这里使用到的是go-ldap包,该包基本上实现了ldap v3的基本功能. 比如连接ldap服务、新增、删除、修改用户信息等,支持条件检索的ldap库中存储的数据信息。

2.下载

go get github.com/go-ldap/ldap/v3
go get github.com/wxnacy/wgo/arrays

使用go-ldap包,可以在gopkg.in/ldap.v3@v3.1.0#section-readme查看说明文档

3.准备LDAP环境

这里通过docker-compose运行一个临时的ldap实验环境,

version: "3"
services:
  ldap:
    image: osixia/openldap:latest
    container_name: openldap
    hostname: openldap
    restart: always
    environment:
      - "LDAP_ORGANISATION=devopsman"
      - "LDAP_DOMAIN=devopsman.cn"
      - "LDAP_BASE_DN=dc=devopsman,dc=cn"
      - "LDAP_ADMIN_PASSWORD=admin123"
    ports:
      - 389:389
      - 636:636

可以按需修改对应的环境变量信息.可以在hub.docker.com找到指定版本的镜像信息. 现在创建一下openldap并且检查一下服务的是否正常:

4.GO-LDAP案例实践

创建用户

在pkg.go.dev文档中查看,有一个Add方法可以完成创建用户的操作,但是需要一个AddRequest参数,而NewAddRequest方法可以返回AddRequest,于是按照此思路梳理一下。

首先要建立与openldap之间的连接,验证账号是否正常,同时此账号要有创建的权限。

// LoginBind  connection ldap server and binding ldap server
func LoginBind(ldapUser, ldapPassword string) (*ldap.Conn, error) {
 l, err := ldap.DialURL(ldapURL)
 if err != nil {
  return nil, err
 }
 _, err = l.SimpleBind(&ldap.SimpleBindRequest{
  Username: fmt.Sprintf("cn=%s,dc=devopsman,dc=cn", ldapUser),
  Password: ldapPassword,
 })

 if err != nil {
  fmt.Println("ldap password is error: ", ldap.LDAPResultInvalidCredentials)
  return nil, err
 }
 fmt.Println(ldapUser,"登录成功")
 return l, nil
}

其次,创建用户,需要准备用户的姓名、密码、sn、uid、gid等信息,可以创建一个struct结构

type User struct {
 username    string
 password    string
 telephone   string
 emailSuffix string
 snUsername  string
 uid         string
 gid         string
}

通过go-ldap包提供的NewAddRequest方法,可以返回新增请求

func (user *User) addUser(conn *ldap.Conn) error {
 ldaprow := ldap.NewAddRequest(fmt.Sprintf("cn=%s,dc=devopsman,dc=cn", user.username), nil)
 ldaprow.Attribute("userPassword", []string{user.password})
 ldaprow.Attribute("homeDirectory", []string{fmt.Sprintf("/home/%s", user.username)})
 ldaprow.Attribute("cn", []string{user.username})
 ldaprow.Attribute("uid", []string{user.username})
 ldaprow.Attribute("objectClass", []string{"shadowAccount", "posixAccount", "account"})
 ldaprow.Attribute("uidNumber", []string{"2201"})
 ldaprow.Attribute("gidNumber", []string{"2201"})
 ldaprow.Attribute("loginShell", []string{"/bin/bash"})

 if err := conn.Add(ldaprow); err != nil {
  return err
 }
 return nil
}

最后,我们就可以通过实例化User这个对象,完成用户的创建了:

func main() {
 con, err := LoginBind("admin", "admin123")
 fmt.Println(con.IsClosing())
 if err != nil {
  fmt.Println("V")
  fmt.Println(err)
 }
 var user User
 user.username="marionxue"
 user.password="admin123"
 user.snUsername="Marionxue"
 user.uid="1000"
 user.gid="1000"
 user.emailSuffix="@qq.com"

 if err=user.addUser(con);err!=nil{
  fmt.Println(err)
 }
 fmt.Println(user.username,"创建完成!")
}

最后运行就可以创建用户

...
/private/var/folders/jl/9zk5nj316rlg_0svp07w6btc0000gn/T/GoLand/___go_build_github_com_marionxue_go30_tools_go_openldap
admin登录成功
marionxue 创建完成!

遍历用户

遍历用户依旧需要与openLDAP建立连接,因此我们复用LoginBind函数,创建一个获取账号的函数GetEmployees

func GetEmployees(con *ldap.Conn) ([]string, error) {
 var employees []string
 sql := ldap.NewSearchRequest("dc=devopsman,dc=cn",
  ldap.ScopeWholeSubtree,
  ldap.NeverDerefAliases,
  0,
  0,
  false,
  "(objectClass=*)",
  []string{"dn", "cn", "objectClass"},
  nil)

 cur, err := con.Search(sql)
 if err != nil {
  return nil, err
 }

 if len(cur.Entries) > 0 {
  for _, item := range cur.Entries {
   cn := item.GetAttributeValues("cn")
   for _, iCn := range cn {
    employees = append(employees, strings.Split(iCn, "[")[0])
   }
  }
  return employees, nil
 }
 return nil, nil
}

我们通过NewSearchRequest检索BaseDBdc=devopsman,dc=cn下的账号信息,最后将用户名cn打印出来

func main() {
 con, err := LoginBind("admin", "admin123")
 if err != nil {
  fmt.Println("V")
  fmt.Println(err)
 }
 employees, err := GetEmployees(con)
 if err != nil {
  fmt.Println(err)
 }
 for _, employe := range employees {
  fmt.Println(employe)

 }
}

结果就是我们前面创建的一个用户

marionxue

删除账号

同样的思路,然后创建一个删除方法delUser

// delUser 删除用户
func (user *User) delUser(conn *ldap.Conn) error{
 ldaprow := ldap.NewDelRequest(fmt.Sprintf("cn=%s,dc=devopsman,dc=cn",user.username),nil)

 if err:= conn.Del(ldaprow);err!=nil{
  return err
 }
 return nil
}

然后在main函数中调用

func main() {
 con, err := LoginBind("admin", "admin123")
 if err != nil {
  fmt.Println("V")
  fmt.Println(err)
 }
 employees, err := GetEmployees(con)
 if err != nil {
  fmt.Println(err)
 }
 var user User
 user.username="marionxue"

 if err:=user.delUser(con);err!=nil{
  fmt.Println("用户删除失败")
 }
 fmt.Println(user.username,"用户删除成功!")
}

运行结果:

admin登录成功
marionxue 用户删除成功!

弱密码检查

默认情况下,在ldap中创建用户,并没有密码复杂度的约束,因此对已存在ldap服务中使用弱密码的账号有什么好办法能获取出来吗?ldap的账号一旦创建,就看不到密码了,如果用弱密码字典模拟登录的话,是否可行呢?

创建一个检查密码的函数CheckPassword,通过逐行读取弱密码词典的数据进行的模拟登录,从而找到ldap中使用弱密码的账号:

func CheckPassword(employe string) {
 // 遍历的弱密码字典
 f, err := os.Open("~/dict.txt")
 if err != nil {
  fmt.Println("reading dict.txt error: ", err)
 }
 defer f.Close()
 scanner := bufio.NewScanner(f)
 for scanner.Scan() {
  weakpassword := scanner.Text()
  _, err := LoginBind(employe, weakpassword)
  if err == nil {
   fmt.Println(employe + " 使用的密码为: " + weakpassword)
  }
 }
 if err := scanner.Err(); err != nil {
  fmt.Println(err)
 }
 fmt.Println(employe + " check have aleardy finished. and the password is stronger well.")

}

结合前面说的遍历账号,拿到所有的账号的信息,然后模拟登录,如果命中了弱密码字典中的密码,就打印出来

func main() {
 con, err := LoginBind("admin", "admin123")
 if err != nil {
  fmt.Println("V")
  fmt.Println(err)
 }
 employees, err := GetEmployees(con)
 if err != nil {
  fmt.Println(err)
 }
 Whitelist := []string{"zhangsan","lisi"}
 for _, employe := range employees {
  fmt.Println("Starting check: ", employe)
  index := arrays.ContainsString(Whitelist, employe)
  if index == -1 {
   CheckPassword(employe)
  } else {
   fmt.Println(employe + " in whitelist. skiping...")
  }
  fmt.Println(employe)
 }
}

但是这样实际就是在攻击自己的服务,这里就会产生两个问题:

  • 用户越多,弱密码字典里面的密码越多,检查的次数也就越多,耗时也就越长
  • 每次模拟登录,实际上就会创建一个连接,虽然连接认证失败,但是也无疑加重服务器连接创建和销毁的资源损耗,你有调优思路没?

以上就是利用Go语言实现轻量级OpenLdap弱密码检测工具的详细内容,更多关于Go OpenLdap弱密码检测工具的资料请关注我们其它相关文章!

(0)

相关推荐

  • 详解samba + OPENldap 搭建文件共享服务器问题

    这里我使用的是 samba(文件共享服务) v4.9.1 + OPENldap(后端数据库软件) v2.4.44 + smbldap-tools(后端数据库管理软件) v0.9.11 + CentOS7. 如果有不同,可能会有部分问题. 注: samba 的功能不只有文件共享,还可以作为一台Windows域成员,甚至Windows域控制器.千万不要认为samba只是一个文件共享服务. 由于我们使用了samba的文件共享功能,与文件权限有直接的联系,所以samba中的使用的用户必须是Linux中能

  • 在Go中创建随机的安全密码

    Go的随机数生成器是生成难以猜出的密码的一种很好的方法. 属性提供的随机数生成器.GO编程语言生成由ASCII字符组成的难以猜测的密码.尽管本文中提供的代码很容易阅读,但最好已经知道了解它的基本知识.如果您对编程语言不熟悉,要去参观学习,然后回到这里. 在进入实用程序和代码之前,请查看ASCII表的以下子集,如man ascii指挥: 30 40 50 60 70 80 90 100 110 120 --------------------------------- 0: ( 2 < F P Z

  • Docker搭建OpenLDAP+phpLDAPadmin统一用户认证的方法

    一.背景 使用LDAP对运维相关用户名密码做统一管理.可以实现一个帐号登录多个不同系统. 手动部署都是各种问题,后来采用Docker部署,参考了好多教程文档总结如以下 内容亲测可用 二.部署 Docker 搭建 LDAP # 拉取镜像 docker pull osixia/openldap:1.3.0 # 创建并进入映射目录 mkdir -p /usr/local/ldap && cd /usr/local/ldap # 启动容器 docker run \ -d \ -p 389:389

  • Go实现凯撒密码加密解密

    目录 1 凯撒密码加密 设计思想 2 Go实现 2.1 导入包 2.2 编写 caesar 方法 3 凯撒密码解密 4 其他实现 5 测试 总结 1 凯撒密码加密 凯撒密码(英语:Caesar cipher),或称凯撒加密.凯撒变换.变换加密,是一种最简单且最广为人知的加密技术. 凯撒密码是一种替换加密技术,明文中的所有字母都在字母表上向后(或向前)按照一个固定数目进行偏移后被替换成密文. 例如,当偏移量是 3 的时候,所有的字母 A 将被替换成 D:B 变成E,以此类推.这个加密方法是以罗马共

  • 利用Go语言实现轻量级OpenLdap弱密码检测工具

    目录 1.Go连接LDAP服务 2.下载 3.准备LDAP环境 4.GO-LDAP案例实践 创建用户 遍历用户 删除账号 弱密码检查 1.Go连接LDAP服务 通过go操作的ldap,这里使用到的是go-ldap包,该包基本上实现了ldap v3的基本功能. 比如连接ldap服务.新增.删除.修改用户信息等,支持条件检索的ldap库中存储的数据信息. 2.下载 go get github.com/go-ldap/ldap/v3 go get github.com/wxnacy/wgo/array

  • 利用C语言实现http服务器(Linux)

    目录 一.实习目的 二.实习项目及内容 2.1开发平台 2.2项目功能 2.3技能储备 三.项目设计 3.1设计概述 3.2 Reactor模式 3.3 socket网络编程 3.4 http服务器应答报文设计 四.代码实现及运行结果 4.1主要功能实现 4.2测试及运行结果 这篇文章是我的生产实习报告,在Linux操作系统上实现的一个简单的HTTP服务器,也算是一个小项目.请大家多多指教. 一.实习目的 本次实习紧紧围绕Linux操作系统基础知识展开,主要学习了Linux系统的常用命令.gcc

  • 利用Go语言追加内容到文件末尾

    前言 我研究了file库,终于让我找到了利用Go语言追加内容到文件末尾的办法 主要的2个函数: func (f *File) Seek(offset int64, whence int) (ret int64, err error) func (f *File) WriteAt(b []byte, off int64) (n int, err error) Seek()查到文件末尾的偏移量 WriteAt()则从偏移量开始写入 以下是例子: // fileName:文件名字(带全路径) // c

  • 破解md5加密扫描程序(适合扫描弱密码)[

    *{font-family:宋体;font-size:10pt} body{text-align:center} .txt{border:1px groove gray} 破解md5加密扫描程序(适合扫描弱密码) var sAscii = " !\"#$%&'()*+,-./0123456789:;?@ABCDEFGHIJKLMNOPQRSTUVWXYZ" var sAscii = sAscii + "[\\]^_`abcdefghijklmnopqrstu

  • 利用C语言编辑画图程序的实现方法(推荐)

    不知道大家在进行开发县级电网调度自动化系统的时候,是否都会遇到一个问题就是:要绘制一个电力系统一次接线图.大家都应该知道其实电力系统的一次接线图是较为复杂的,如果想要使用一般的编程方法来进行绘制的话,基本上就是行不通的.那么我们应该怎样才可以更加的高效直接呢?今天小编就会给大家介绍一个方法,那就是:利用C语言编辑画图程序的实现方法.希望这篇教程对于大家有所帮助. 一.实现方法 在教程开始之前,小编先为大家介绍一下在编程程序里面早已定义了几个特殊按钮.为什么小编要为大家介绍这几个特殊按钮呢?那是因

  • 利用C语言替换文件中某一行的方法

    文件中存贮的内容如下所示: 11 1122 0 1122 * * 0 0 22 222 0 222 * * 0 0 33 333 0 333 * * 0 0 通过使用下面的几个函数,fopen,fprintf,fscanf,fseek,ftell . 具体的函数函数原型如下所示: FILE*fopen(const char*filename,const char *mode); int fprintf(FILE*stream,const char *format,...) int fscanf(

  • 利用 Go 语言编写一个简单的 WebSocket 推送服务

    本文中代码可以在 github.com/alfred-zhong/wserver获取. 背景 最近拿到需求要在网页上展示报警信息.以往报警信息都是通过短信,微信和 App 推送给用户的,现在要让登录用户在网页端也能实时接收到报警推送. 依稀记得以前工作的时候遇到过类似的需求.因为以前的浏览器标准比较陈旧,并且那时用 Java 较多,所以那时候解决这个问题就用了 Comet4J.具体的原理就是长轮询,长链接.但现在毕竟 html5 流行开来了,IE 都被 Edge 接替了,再用以前这种技术就显得过

  • Python3 利用requests 库进行post携带账号密码请求数据的方法

    如下所示: import urllib,json,requests url = 'http://127.0.0.1:8000/account/login' headers = {} data = {'username':'asd','pwd':'123456$'} request = requests.post(url=url, data=data,json=True,headers=headers) response = request.content.decode() #需要携带请求头信息的

  • 对python使用telnet实现弱密码登录的方法详解

    系统环境: 64位win7企业版 python2.7.10 2016.08.16修改内容: 1)read_until()函数是可以设置timeout的,之前不能获取到password之后的返回是因为调用read_some()函数次数不够,没有读取到返回信息 2)如果不设置read_until()函数的timeout值,那么程序将一直建立连接而不会关闭,导致程序永远没有返回,所以设置timeout还是有必要的 3)不同服务器返回的内容是不一样的,例如网络设备radware返回就不是"login:&

  • python语言编程实现凯撒密码、凯撒加解密算法

    凯撒密码的原理:计算并输出偏移量为3的凯撒密码的结果 注意:密文是大写字母,在变换加密之前把明文字母都替换为大写字母 def casar(message): # *************begin************# message1=message.upper() #把明文字母变成大写 message1=list(message1) #将明文字符串转换成列表 list1=[] for i in range(len(message1)): if message1[i]==' ': lis

随机推荐