这题一开始有点思维定式 认为flag在userPassword里捣鼓了很久没出来
nmap 扫描可以发现389端口是open的 用LDAPBrowser尝试连接 发现可以匿名登录
填上ip和389端口 勾上Anonymous
点击完成 然后一个个目录往下查看
zctf{303a61ace0204a2d5f352771d6f1bba2}
这是配置服务经常有的疏忽 类似的还有rsync的873端口 redis的6379端口