• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Регистрация пользователей (RegisterNewUser)

S

Shandrik

Да самое простое: найти в АД книгу и изменить список пользователей внутри, затем сохранить.
Так можно и добавить без AdminProcess. Хотелось бы по-честному.


Посмотрел на лотус-хирургию по Imike. Страшно, пока воздержусь. %)
 

savl

Lotus Team
28.10.2011
2 590
309
BIT
120
возможно задействовать ЛДАП, но не уверен...
Это если он есть... А если нет, не поднимать же?)

Посмотрел на лотус-хирургию по Imike. Страшно, пока воздержусь. %)
Поэтому я и говорю - самое простое: найти группу и удалить из списка.
Нет стандартного решения, вот такие самописки только...
Группу найти не сложно, даже если книга не одна, тем более где группы всегда известно.
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 925
608
BIT
135
Это если он есть... А если нет, не поднимать же?)
в составе домины он есть, поднимать - load ldap
[DOUBLEPOST=1428412776,1428412480][/DOUBLEPOST]
Посмотрел на лотус-хирургию по Imike. Страшно, пока воздержусь. %)
таки - да, ваять на Си - это неайс, для боевого сервера.
Ссылка - оценка масштаба проблемы :)
 
  • Нравится
Реакции: Shandrik

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 925
608
BIT
135
для ЛДАП ([HASHTAG]#LDAP[/HASHTAG]) читать:

link removed



команда:
ldapmodify -x -D "cn=admin, o=ORGANIZATION" -w mypassword -h server -p 8389 -f ldaptest.txt
порт - это у меня такой (ваще можно не указывать)
 
Последнее редактирование модератором:

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 925
608
BIT
135
файл выглядит так:
Код:
dn: cn=MyGroup
changetype:modify
delete:member
member:CN=fred
на добавление будет add:member
[DOUBLEPOST=1428417791,1428417744][/DOUBLEPOST]и никаких гиморов с поиском книги и группы ;)
[DOUBLEPOST=1428417938][/DOUBLEPOST]просмотр мемберов (уже описывал здесь):
ldapsearch -x -D "cn=ldap-query" -w mypassword -h server -p 8389 -b "" "cn=MyGroup"
[DOUBLEPOST=1428418040][/DOUBLEPOST]ЛДАП утили - в любых линухах, в репах
в виндятко - повершел
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 925
608
BIT
135
а на вопрос про клиентскую часть (нотусятину) - оно не надо :) ибо токма на серванте изменения АК д.б.
т.е. весь клиентский замес - запуск команды на сервере
 
S

Shandrik

Заставляю юзера сменить пароль:
noteid$=nap.SetUserPasswordSettings(USER_NAME,PWD_CHK_CHECKPASSWORD,1,1,True)


Получаю отлуп :(
Ошибка: Notes error: Release 8.5.3FP6|November 21, 2013 в: INITIALIZE l. 11 (4000)

Это несовместимость версий?

Агент писан в 8.0.2 - ошибка
Агент пересохранен в 9-ке - та же ошибка.

8.5.3FP6 ищем пока. Его установка точно поможет?
 

savl

Lotus Team
28.10.2011
2 590
309
BIT
120
@Shandrik, класс появился еще в 6-ке, метод видимо был сразу (отдельно не написано в каком релизе появился)
Это весь текст ошибки?
Версия сервера какая?
 
S

Shandrik

Да, выделенное жирным, это Error$ .


Версии серверов, на котором агент запускается и на котором создается AdminProcess одинаковые - 8.5.3FP6.
 
S

Shandrik

Хм. Попробовал на тестовом юзере на другом сервере другого домена - АдминРеквест успешно создался.

Версия сервера та же.

Не понимаю. :sour:

Может прав каких не хватает? Я в админстве не силен - подскажите, что где посмотреть?
 

savl

Lotus Team
28.10.2011
2 590
309
BIT
120
Я в админстве не силен - подскажите, что где посмотреть?
Настройки сервера где запрос ошибкой, через администратор, в частности закладку security.
Можно добавить себя в секцию Full Access administrators и сделать запуск агента с правами 3, сделать запуск "от имени" и выбрать себя.
Но не очень решение... слишком много прав сразу получаем...
 
S

Shandrik

Экспериментально выяснил вот что:
Если агент запустить локально - Run из списка агентов, то всё отрабатывает и в AdminRequest появляется запрос, если же агент запустить на сервере - получаем ошибку с версией лотуса, где работает агент.

Запускал из-под того же пользователя, кем агент подписан.

Что посмотреть?
 

savl

Lotus Team
28.10.2011
2 590
309
BIT
120
Run из списка агентов, то всё отрабатывает и в AdminRequest появляется запрос
в этом случае агент работает локально от пользователя...

на сервере - получаем ошибку с версией лотуса, где работает агент.
Запускали командой консоли?
В Log.nsf агент что-то написал?

NOTES CAPI не используется случайно?
For example, a call to OSLoadString using an error code of 1 will return the version of Notes that is being used, along with the release date of that version.

- раздел Translating Notes API Errors
 
S

Shandrik

> в этом случае агент работает локально от пользователя...
Это понятно, но пользователь один.


> Запускали командой консоли?
> В Log.nsf агент что-то написал?

Запускал другим агентом через RunOnServer.
В Log.nsf пишется ошибка с номером версии.


Вывел IsCertificateAuthorityAvailable - True


CAPI не использовал. Просто тестовый агент из пяти смысловых строчек.
 
S

Shandrik

Ещё раз напомню - если в этом агенте прописать другой СА и соответствующий ему сервер, то всё работает.
 
S

Shandrik

Обнаружил новые грабли.
При регистрации выдаёт: Notes error: File does not exist (Seleznyeva)
Документ в адресной книге создаётся, почтовая база - нет.
Выяснил, что такая ошибка вылазит, если задать nReg.MailTemplateName. Если убрать заполнение этого свойства, то работает без ошибок и почтовая база создаётся.

Шаблон с таким именем есть, лежит в корне сервера.

Что не так?
 
S

Shandrik

Коллеги, заказчик требует от меня использование id vault при регистрации пользователей моим web-сервисом. Но я не могу найти упоминания о нём в параметрах Notesregistration и RegisterNewUser.
Что надо сделать, чтобы он заработал?
 
S

Shandrik

Разобрались - у админов не была настройка поднята.

Требует NotesRegistration.NoIDFile=False
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!