公司的一個滲透測試項目中發現使用了LDAP服務（389）做為用戶認證的后台數據庫，寫了一個ldap匿名訪問批量檢測腳本 ldap2018.py： ...

LDAP默認是允許用戶匿名訪問的，如下圖：在使用工具連接時，勾選匿名綁定后，不需要輸入UserDN和密碼就可能連接到LDAP服務器，但是只能進行read及search操作。不能做任何的修改及刪除操作。 禁止匿名訪問的方法： 1、刪除匿名訪問控制指令 2、修改匿名訪問控制指令（修改 ...

測試工具下載 http://www.ldapadmin.org/download/ldapadmin.html 烏雲漏洞案例 https://shuimugan.com/bug/view?bug_no=229413 ...

...

1、設置密碼，至少8位以上，最好包含大小寫字母，數字和特殊字符等。 密碼策略配置方法：https://blog.csdn.net/u011607971/article/details/86 ...

背景 第一次接觸ldap時，是大三實習的那個暑假，使用java訪問AD服務器中的用戶屬性，已經基本忘記如何搞了。這次本來是想用go語言和ldap寫一個獲取AD服務器中用戶的安全組的例子，想測試一下可以達到多高的性能。但是無奈go語言下沒有好的ldap庫（只找到github中的一個go-ldap ...

　　為了讓ftp可以匿名訪問，需要設置/etc/vsftp.conf 的 anonymous_enable=YES。 　　當然僅僅是這樣，還是不可以的，會出現錯誤： 　　vsftpd: refusing to run with writable root inside chroot ...

前言 前兩天總結了互聯網或者說IT公司內網常見的漏洞，然后決定針對還沒學習過不了解的漏洞進行學習了解，所以准備一一針對來研習，今天是第一篇，立一個Flag，爭取今年搞定，為啥說的這么艱難， ...