• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Обход ограничения по авторс полю

ToxaRat

Чёрный маг
Green Team
06.11.2007
3 332
42
BIT
0
У каждого текстового поля есть ограничение по его размеру, в данном случае речь идёт о поле типа Авторс - отвечающее за то, кто имеет право видеть и редактировать документ. Тут срабатывает несколько ограничений сразу - все summary поля не должно превышать в сумму 32К и размер одного поля не больше 32К. Понятное дело, что если нам нужно явно в документе указать 100 пользователей у нас это не получится - а надо!
Одним из способов обойти это ограничение есть сохранять в поле не полное каноническое имя типа CN=Name\O=OgrName\U=UA а лишь его крайткой формы Name
Это позволяет забить в поле практически в 2 раза больше значений.

Теперь внимание :) вопрос ;)

В настройках сервера можно забить, чтобы пи авторизации через ВЕБ в качестве логина использовать shortname (больше вариантов для авторизации - уменьшает уровень безопасности, Internet authentication: More name variations with lower security)

Так вот, как включить доступ к документу по shortname дабы забить туда еще больше значение?
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 933
609
BIT
177
а как получается - что так много уникальных сочетаний, ощутимых по кол-ву элементов, нужно создавать
потому как ежели сочетаний не много и/или они не уникальны - группы
 

ToxaRat

Чёрный маг
Green Team
06.11.2007
3 332
42
BIT
0
а как получается - что так много уникальных сочетаний, ощутимых по кол-ву элементов, нужно создавать
потому как ежели сочетаний не много и/или они не уникальны - группы
ограничение по группе наступит быстре чем ограничение по лотус-имени

к примеру в базу имеет доступ 2К пользователей, группами тут не обделаешься
 
T

TIA

ут срабатывает несколько ограничений сразу - все summary поля не должно превышать в сумму 32К и размер одного поля не больше 32К.
Размер всех SUMMARY полей 64кб. Из них AUTHORS и READERS не более 32к.
к примеру в базу имеет доступ 2К пользователей, группами тут не обделаешься
Обделаешься. Один пользователь на группу и всё будет в шоколаде.
Так вот, как включить доступ к документу по shortname дабы забить туда еще больше значение?
По shortname должны пустить, если его включить в Readrs/Authors документа. В 5ке это было неотключаемо сейчас не знаю.
 

ToxaRat

Чёрный маг
Green Team
06.11.2007
3 332
42
BIT
0
По shortname должны пустить, если его включить в Readrs/Authors документа. В 5ке это было неотключаемо сейчас не знаю.
ты не понимаешь
захожу в базу жирным клиентом
есть документ в нём в авторс поле написано:
1) "CN=Anton Kovalenko/O=BKC" - документ вижу и редактирую
2) "Anton Kovalenko" - документ виду и редактирую
3) "Anton" - это мой шортнейм , не виду и не редактирую - а вот надо чтобы как и по 2 предыдущим вариантом - был доступ
 
T

TIA

1) "CN=Anton Kovalenko/O=BKC" - документ вижу и редактирую
2) "Anton Kovalenko" - документ виду и редактирую
3) "Anton" - это мой шортнейм , не виду и не редактирую - а вот надо чтобы как и по 2 предыдущим вариантом - был доступ
ShortName - это №2. Проверь @Names([CN];@UserName). А что ты называешь short name на самом деле это given name.
 

ToxaRat

Чёрный маг
Green Team
06.11.2007
3 332
42
BIT
0
ShortName - это №2. Проверь @Names([CN];@UserName). А что ты называешь short name на самом деле это given name.
я веду речь о поле Short name/UserID: в карточке пользователя в АК
по нему можно авторизироваться в вебе и вот его бы хотелось использовать для доступа к документу
 
N

nvyush

я веду речь о поле Short name/UserID: в карточке пользователя в АК
по нему можно авторизироваться в вебе и вот его бы хотелось использовать для доступа к документу
КМК, после web-авторизации по Short Name пользователю всё равно сопоставляется его каноническое имя из АК, т.е. @Username вернёт "CN=Anton Kovalenko/O=BKC", а не "Anton". В ACL есть волшебная кнопка Effective Access..., которая позволяет увидеть не только уровень и привилегии доступа, но и все сопоставленные пользователю имена. Среди них нет Short Name.
Если ёмкости Authors-поля не хватает, можно попробовать привязывать к документам документы-карточки с минимальным набором полей (для представлений) и заполненным под завязку Authors-полем. При переполнении создавать ещё одну карточку. При открытии карточки серверным агентом прописывать пользователя в авторы в документа и открывать его, при сохранении — исключать. Сложно, но по другому только группы.
 

ToxaRat

Чёрный маг
Green Team
06.11.2007
3 332
42
BIT
0
Если ёмкости Authors-поля не хватает, можно попробовать привязывать к документам документы-карточки с минимальным набором полей (для представлений) и заполненным под завязку Authors-полем. При переполнении создавать ещё одну карточку. При открытии карточки серверным агентом прописывать пользователя в авторы в документа и открывать его, при сохранении — исключать. Сложно, но по другому только группы.
это я знаю и храню как резервный вариант, от того тема и называется "обход ограничения" а не "альтернативы"

так можно ли как-то задействовать шортнейм?
 
N

nvyush

так можно ли как-то задействовать шортнейм?
КМК, только созданием одноимённых групп с включением в них соответствующих пользователей. Вот только допустит ли это АК и не свихнётся ли при этом сервер?
 

ToxaRat

Чёрный маг
Green Team
06.11.2007
3 332
42
BIT
0
КМК, только созданием одноимённых групп с включением в них соответствующих пользователей. Вот только допустит ли это АК и не свихнётся ли при этом сервер?
не, группы это зло или как пишут американцы - ящик пандоры, что тоже самое

Reader fields for large user populations]]>
всё это я прекрасно знаю

мне то как раз интересней поковыряться в ином направлении, есть вход по шортнейму через веб авторизацию, может есть такой вход и на документ

придумать алиас на пользователя это вариант, фактически это и есть аналог шортнейма, обозвать меня не "CN=Anton Kovalenko/O=BKC" а "A79" меня более чем устроило бы, как задействовать это "A79" на документ?
 
N

nvyush

не, группы это зло или как пишут американцы - ящик пандоры, что тоже самое
Я имел ввиду не динамические группы, а группы с именем Short Name, у которых в Members единственный член с соответствующим именем. Т.е. сколько пользователей, столько и групп. Если АК такое позволит и серверу крышу не снесёт — будет работать.

Кстати, появилась бредовая идея — если найти в АК представление, по которому строится список имён пользователя и дописать туда Short Name — может и без групп заработает?
 

ToxaRat

Чёрный маг
Green Team
06.11.2007
3 332
42
BIT
0
Я имел ввиду не динамические группы, а группы с именем Short Name, у которых в Members единственный член с соответствующим именем. Т.е. сколько пользователей, столько и групп. Если АК такое позволит и серверу крышу не снесёт — будет работать.
уже при 100 группах возникают серьезные проблемы - кешится от 30 до 2 часов
виды еле работают
не то

Кстати, появилась бредовая идея — если найти в АК представление, по которому строится список имён пользователя и дописать туда Short Name — может и без групп заработает?
не будет, так как в ИД пользователя шортнейм тоже должен быть, а его там нет
 
N

nvyush

то что вы добавите от руки в FullName аж никак не отразится в user.id и доступа на докуемнте не будет
А причём тут user.id? Групп и ролей там тоже нет, однако же доступ к документу возможен и по имени группы и по роли. Было бы время/желание/тестовый_сервер_которого_не_жалко, я бы поигрался с представлением "($ServerAccess)" в АК (в плане добавления туда документов пользователей и вывода ShortName как имени группы). Хотя с другой стороны, и на Short Name много не сэкономишь.
 

ToxaRat

Чёрный маг
Green Team
06.11.2007
3 332
42
BIT
0
А причём тут user.id? Групп и ролей там тоже нет, однако же доступ к документу возможен и по имени группы и по роли.
обьясняю, когды вы заходите в базу пробивается ваше полное и краткое имя, а оно есть в группах а роли вешаются или на имя или на группу
 
N

nvyush

когды вы заходите в базу пробивается ваше полное и краткое имя, а оно есть в группах а роли вешаются или на имя или на группу
КМК, когда открывает БД по Canonical Name (первичному и альтернативному) строятся */ группы, из АК берутся группы доступа, затем по ACL ищутся роли, соответствующие всем полученным именам. Любое из имён может использоваться для доступа к документу.
При web-доступе сперва по Short Name в АК ищется Canonical Name, далее аналогично.
Версия основана на результатах нажатия кнопки Effective Access... в ACL.
Исходя из изложенного могу предположить, что единственный способ дать доступ к документам по Short Name — это "заставить" Lotus думать, что это ещё одна группа пользователя. Если все функции идентификации обращаются исключительно к представлениям АК и не открывают документы, то есть шанс "допилить" нужные представления нужным образом. Только надо ли оно?
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!