• Профессиональным авторам. Срочный заказ!

    Необходимо сделать развернутое описание каждой из наших услуг. Ограничений на объем текста нет. ЦА - руководство компаний (сухой технический текст). При отсутствии исполнителей среди участников форума, работа будет передана фрилансерам 10 февраля.

    Подробнее о заказе ...

На проверке От DnsAdmins до администратора доменного контроллера

FlowLight

FlowLight

Премиум
31.07.2017
28
27
Начну с благодарности создателям codeby и всем, кто делает вклад в развитие codeby так, как данный форум помогал возрастать мне как специалисту на своей сфере ! Спасибо огромное !

Данная статья является сокращённой пояснительной запиской к основной статье :


Я хочу, на основе статьи, показать как злоумышленник может выполнить код на доменном контроллере поднятом на Windows 2016 Standard 14393 из под обычного юзера входящего в группу DnsAdmins. Атака основывается на внедрении DLL в службу dns, запущенную с правами SYSTEM на DNS-сервере контроллера .

Все действия будут выполняться на моём собственном рабочем стенде ! Не в коем случае не рекомендуется использовать данные материалы для нанесения ущерба !!!

1.png


present.png


1. Чтобы атака сработала, злоумышленнику необходимо скомпрометировать пользователя, который входит в группу DnsAdmins . В нашем случае это будет user1 . Для начала узнаем, обладает ли он нужными правами :

права.png


DnsAdmins есть !

2. Генерация DLLки, которую будет подгружать контроллер с контролируемой злоумышленником шары :

msfvenom.png


3. Поднимаем шару, с которой домен-контроллер будет забирать DLL :

smbshare.png


4. Под пользователем user1 из powershell указываем на DLLку :

connecttoshare.png


5. Значение реестра ServerLevelPluginDll должно указывать на вредоносную DLL :

serverplugin.png


6. Перезапускаем службу DNS :

restartDNS.png


7. Получаем meterpreter !

qwdqw.png


shell.png
 
  • Нравится
Реакции: LTD и g4rch
O

olegtsss

New member
06.05.2018
3
0
Добрый день. Я правильно понимаю, dnscmd /config подменяет существующую в Windows dll на test.dll?
 
Ondrik8

Ondrik8

prodigy
08.11.2016
1 028
3 011
метода да, хороша , но ты не указал как найти ту dll куда можно внедрится от имени юзера или с данными правами, то есть провернуть подмену) а это все есть))
раз начал поведывать, то огласи как, чем и к кому!))
 
  • Нравится
Реакции: FlowLight
kot-gor

kot-gor

Grey Team
07.09.2016
524
685
Всем привет. В этой атаке, я так понимаю, злоумышленник должен сидеть за машиной которая подключена к домену и входит группу DnsAdmins . А как попасть в домен, гайда случаем нет?
 
FlowLight

FlowLight

Премиум
31.07.2017
28
27
Всем привет. В этой атаке, я так понимаю, злоумышленник должен сидеть за машиной которая подключена к домену и входит группу DnsAdmins . А как попасть в домен, гайда случаем нет?
Добрый день ! Гайда не находил :(

Добрый день. Я правильно понимаю, dnscmd /config подменяет существующую в Windows dll на test.dll?
Добрый день !

"Now that we have the DLL and we checked that it is working, we can ask the victim DC01 to load our malicious DLL (from the victim controlled network share on host 10.0.0.2) next time the service starts (or when the attacker restarts it)"

Цитата из статьи говорит о том , что данной командой мы просим сервер подгрузить нашу .dll . Вы правы !

метода да, хороша , но ты не указал как найти ту dll куда можно внедрится от имени юзера или с данными правами, то есть провернуть подмену) а это все есть))
раз начал поведывать, то огласи как, чем и к кому!))
Доброго времени ! Исправлюсь :)
 
Ondrik8

Ondrik8

prodigy
08.11.2016
1 028
3 011
Всем привет. В этой атаке, я так понимаю, злоумышленник должен сидеть за машиной которая подключена к домену и входит группу DnsAdmins . А как попасть в домен, гайда случаем нет?
есть их полно, достаточно просто в сетку вражескую попасть) а там уже боковое движение мутить) но перед этим нужно глянуть какие пакеты летают в сети) NBT-NS, BROWSER, LLMNR, DNS в общем responder, crackmapexec , bloodhound и + хотя бы какая нибудь Empire-PowerShell , этой связки вполне должно хватить)
 
  • Нравится
Реакции: kot-gor
clevergod

clevergod

Gold Team
22.04.2017
76
351
Уважаемый автор, название твоей статьи слишком громко звучит (От DnsAdmins до администратора доменного контроллера). Обзорчик уязвимости этой можно допилить, чтобы получилась полноценная статья с нормальными изображениями и логикой.
Поясняю, вводную часть необходимо подать с небольшим вступлением о том, в каких случаях это может произойти, изображения очень плохого качества ну или хотябы увеличить разрешение, если ты показываешь уязвимость поднятия привилегий до админа домена - покажи не whoami /all а именно то, что данный пользователь в домене и его доменные права и группы net user %username% /domain и состав группы админов домена до атаки net group 'Domain Administrators' /domain а затем тем же самым запросы после поднятия привилегий до админа домена. В твоем случае ты поднялся до системы и не более того. В большинстве нормально защищенных сетях с проактивной защитой и защитой обхода инъекций даже при очень хорошо обфусцированной нагрузке дальше системы ты так не поднимешься, но попав на конроллер сможешь сдампить все хеши пользователей и дальше их брутить или использовать импакет ну или голден тикет. В твоем случае логика закончилась на том, что ты считаешь что теперь можно сдампить пароль Админа домена мимикатзом наверное, т.е. ты даже этого не пояснил. Просто ты пойми, складывается ощущение, что ты просто скопипастил статью, сделал все по мануалу, но не имеешь большого опыта работы в доменных сетях или упустил просто важные вещи...
 
  • Нравится
Реакции: kot-gor и The Codeby
FlowLight

FlowLight

Премиум
31.07.2017
28
27
Уважаемый автор, название твоей статьи слишком громко звучит (От DnsAdmins до администратора доменного контроллера). Обзорчик уязвимости этой можно допилить, чтобы получилась полноценная статья с нормальными изображениями и логикой.
Поясняю, вводную часть необходимо подать с небольшим вступлением о том, в каких случаях это может произойти, изображения очень плохого качества ну или хотябы увеличить разрешение, если ты показываешь уязвимость поднятия привилегий до админа домена - покажи не whoami /all а именно то, что данный пользователь в домене и его доменные права и группы net user %username% /domain и состав группы админов домена до атаки net group 'Domain Administrators' /domain а затем тем же самым запросы после поднятия привилегий до админа домена. В твоем случае ты поднялся до системы и не более того. В большинстве нормально защищенных сетях с проактивной защитой и защитой обхода инъекций даже при очень хорошо обфусцированной нагрузке дальше системы ты так не поднимешься, но попав на конроллер сможешь сдампить все хеши пользователей и дальше их брутить или использовать импакет ну или голден тикет. В твоем случае логика закончилась на том, что ты считаешь что теперь можно сдампить пароль Админа домена мимикатзом наверное, т.е. ты даже этого не пояснил. Просто ты пойми, складывается ощущение, что ты просто скопипастил статью, сделал все по мануалу, но не имеешь большого опыта работы в доменных сетях или упустил просто важные вещи...
Доброго времени ! Ок :)
 
  • Нравится
Реакции: The Codeby
Мы в соцсетях: