От DnsAdmins до администратора доменного контроллера

FlowLight

FlowLight

Green Team
31.07.2017
29
31
BIT
1
Начну с благодарности создателям codeby и всем, кто делает вклад в развитие codeby так, как данный форум помогал возрастать мне как специалисту на своей сфере ! Спасибо огромное !

Данная статья является сокращённой пояснительной запиской к основной статье :
Ссылка скрыта от гостей


Я хочу, на основе статьи, показать как злоумышленник может выполнить код на доменном контроллере поднятом на Windows 2016 Standard 14393 из под обычного юзера входящего в группу DnsAdmins. Атака основывается на внедрении DLL в службу dns, запущенную с правами SYSTEM на DNS-сервере контроллера .

Все действия будут выполняться на моём собственном рабочем стенде ! Не в коем случае не рекомендуется использовать данные материалы для нанесения ущерба !!!

1.png


present.png


1. Чтобы атака сработала, злоумышленнику необходимо скомпрометировать пользователя, который входит в группу DnsAdmins . В нашем случае это будет user1 . Для начала узнаем, обладает ли он нужными правами :

права.png


DnsAdmins есть !

2. Генерация DLLки, которую будет подгружать контроллер с контролируемой злоумышленником шары :

msfvenom.png


3. Поднимаем шару, с которой домен-контроллер будет забирать DLL :

smbshare.png


4. Под пользователем user1 из powershell указываем на DLLку :

connecttoshare.png


5. Значение реестра ServerLevelPluginDll должно указывать на вредоносную DLL :

serverplugin.png


6. Перезапускаем службу DNS :

restartDNS.png


7. Получаем meterpreter !

qwdqw.png


shell.png
 
  • Нравится
Реакции: LTD и but43r
O

olegtsss

New member
06.05.2018
3
0
BIT
250
Добрый день. Я правильно понимаю, dnscmd /config подменяет существующую в Windows dll на test.dll?
 
Ondrik8

Ondrik8

prodigy
Green Team
08.11.2016
1 129
3 188
BIT
0
Ссылка скрыта от гостей
метода да, хороша , но ты не указал как найти ту dll куда можно внедрится от имени юзера или с данными правами, то есть провернуть подмену) а это все есть))
раз начал поведывать, то огласи как, чем и к кому!))
 
  • Нравится
Реакции: FlowLight
kot-gor

kot-gor

Well-known member
07.09.2016
529
705
BIT
0
Всем привет. В этой атаке, я так понимаю, злоумышленник должен сидеть за машиной которая подключена к домену и входит группу DnsAdmins . А как попасть в домен, гайда случаем нет?
 
FlowLight

FlowLight

Green Team
31.07.2017
29
31
BIT
1
kot-gor сказал(а):
Всем привет. В этой атаке, я так понимаю, злоумышленник должен сидеть за машиной которая подключена к домену и входит группу DnsAdmins . А как попасть в домен, гайда случаем нет?
Нажмите, чтобы раскрыть...
Добрый день ! Гайда не находил :(

olegtsss сказал(а):
Добрый день. Я правильно понимаю, dnscmd /config подменяет существующую в Windows dll на test.dll?
Нажмите, чтобы раскрыть...
Добрый день !

"Now that we have the DLL and we checked that it is working, we can ask the victim DC01 to load our malicious DLL (from the victim controlled network share on host 10.0.0.2) next time the service starts (or when the attacker restarts it)"

Цитата из статьи
Ссылка скрыта от гостей
говорит о том , что данной командой мы просим сервер подгрузить нашу .dll . Вы правы !

Ondrik8 сказал(а):
Ссылка скрыта от гостей
метода да, хороша , но ты не указал как найти ту dll куда можно внедрится от имени юзера или с данными правами, то есть провернуть подмену) а это все есть))
раз начал поведывать, то огласи как, чем и к кому!))
Нажмите, чтобы раскрыть...
Доброго времени ! Исправлюсь :)
 
Ondrik8

Ondrik8

prodigy
Green Team
08.11.2016
1 129
3 188
BIT
0
kot-gor сказал(а):
Всем привет. В этой атаке, я так понимаю, злоумышленник должен сидеть за машиной которая подключена к домену и входит группу DnsAdmins . А как попасть в домен, гайда случаем нет?
Нажмите, чтобы раскрыть...
есть их полно, достаточно просто в сетку вражескую попасть) а там уже боковое движение мутить) но перед этим нужно глянуть какие пакеты летают в сети) NBT-NS, BROWSER, LLMNR, DNS в общем responder, crackmapexec , bloodhound и + хотя бы какая нибудь Empire-PowerShell , этой связки вполне должно хватить)
 
  • Нравится
Реакции: kot-gor
clevergod

clevergod

Platinum
22.04.2017
119
675
BIT
18
Уважаемый автор, название твоей статьи слишком громко звучит (От DnsAdmins до администратора доменного контроллера). Обзорчик уязвимости этой можно допилить, чтобы получилась полноценная статья с нормальными изображениями и логикой.
Поясняю, вводную часть необходимо подать с небольшим вступлением о том, в каких случаях это может произойти, изображения очень плохого качества ну или хотябы увеличить разрешение, если ты показываешь уязвимость поднятия привилегий до админа домена - покажи не whoami /all а именно то, что данный пользователь в домене и его доменные права и группы net user %username% /domain и состав группы админов домена до атаки net group 'Domain Administrators' /domain а затем тем же самым запросы после поднятия привилегий до админа домена. В твоем случае ты поднялся до системы и не более того. В большинстве нормально защищенных сетях с проактивной защитой и защитой обхода инъекций даже при очень хорошо обфусцированной нагрузке дальше системы ты так не поднимешься, но попав на конроллер сможешь сдампить все хеши пользователей и дальше их брутить или использовать импакет ну или голден тикет. В твоем случае логика закончилась на том, что ты считаешь что теперь можно сдампить пароль Админа домена мимикатзом наверное, т.е. ты даже этого не пояснил. Просто ты пойми, складывается ощущение, что ты просто скопипастил статью, сделал все по мануалу, но не имеешь большого опыта работы в доменных сетях или упустил просто важные вещи...
 
  • Нравится
Реакции: kot-gor и Сергей Попов
FlowLight

FlowLight

Green Team
31.07.2017
29
31
BIT
1
clevergod сказал(а):
Уважаемый автор, название твоей статьи слишком громко звучит (От DnsAdmins до администратора доменного контроллера). Обзорчик уязвимости этой можно допилить, чтобы получилась полноценная статья с нормальными изображениями и логикой.
Поясняю, вводную часть необходимо подать с небольшим вступлением о том, в каких случаях это может произойти, изображения очень плохого качества ну или хотябы увеличить разрешение, если ты показываешь уязвимость поднятия привилегий до админа домена - покажи не whoami /all а именно то, что данный пользователь в домене и его доменные права и группы net user %username% /domain и состав группы админов домена до атаки net group 'Domain Administrators' /domain а затем тем же самым запросы после поднятия привилегий до админа домена. В твоем случае ты поднялся до системы и не более того. В большинстве нормально защищенных сетях с проактивной защитой и защитой обхода инъекций даже при очень хорошо обфусцированной нагрузке дальше системы ты так не поднимешься, но попав на конроллер сможешь сдампить все хеши пользователей и дальше их брутить или использовать импакет ну или голден тикет. В твоем случае логика закончилась на том, что ты считаешь что теперь можно сдампить пароль Админа домена мимикатзом наверное, т.е. ты даже этого не пояснил. Просто ты пойми, складывается ощущение, что ты просто скопипастил статью, сделал все по мануалу, но не имеешь большого опыта работы в доменных сетях или упустил просто важные вещи...
Нажмите, чтобы раскрыть...
Доброго времени ! Ок :)
 
  • Нравится
Реакции: Сергей Попов
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ