• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

От DnsAdmins до администратора доменного контроллера

FlowLight

Green Team
31.07.2017
29
31
BIT
0
Начну с благодарности создателям codeby и всем, кто делает вклад в развитие codeby так, как данный форум помогал возрастать мне как специалисту на своей сфере ! Спасибо огромное !

Данная статья является сокращённой пояснительной запиской к основной статье :


Я хочу, на основе статьи, показать как злоумышленник может выполнить код на доменном контроллере поднятом на Windows 2016 Standard 14393 из под обычного юзера входящего в группу DnsAdmins. Атака основывается на внедрении DLL в службу dns, запущенную с правами SYSTEM на DNS-сервере контроллера .

Все действия будут выполняться на моём собственном рабочем стенде ! Не в коем случае не рекомендуется использовать данные материалы для нанесения ущерба !!!

1.png


present.png


1. Чтобы атака сработала, злоумышленнику необходимо скомпрометировать пользователя, который входит в группу DnsAdmins . В нашем случае это будет user1 . Для начала узнаем, обладает ли он нужными правами :

права.png


DnsAdmins есть !

2. Генерация DLLки, которую будет подгружать контроллер с контролируемой злоумышленником шары :

msfvenom.png


3. Поднимаем шару, с которой домен-контроллер будет забирать DLL :

smbshare.png


4. Под пользователем user1 из powershell указываем на DLLку :

connecttoshare.png


5. Значение реестра ServerLevelPluginDll должно указывать на вредоносную DLL :

serverplugin.png


6. Перезапускаем службу DNS :

restartDNS.png


7. Получаем meterpreter !

qwdqw.png


shell.png
 
  • Нравится
Реакции: LTD и but43r

olegtsss

New member
06.05.2018
3
0
BIT
98
Добрый день. Я правильно понимаю, dnscmd /config подменяет существующую в Windows dll на test.dll?
 

Ondrik8

prodigy
Green Team
08.11.2016
1 129
3 186
BIT
0
метода да, хороша , но ты не указал как найти ту dll куда можно внедрится от имени юзера или с данными правами, то есть провернуть подмену) а это все есть))
раз начал поведывать, то огласи как, чем и к кому!))
 
  • Нравится
Реакции: FlowLight

kot-gor

Grey Team
07.09.2016
529
705
BIT
0
Всем привет. В этой атаке, я так понимаю, злоумышленник должен сидеть за машиной которая подключена к домену и входит группу DnsAdmins . А как попасть в домен, гайда случаем нет?
 

FlowLight

Green Team
31.07.2017
29
31
BIT
0
Всем привет. В этой атаке, я так понимаю, злоумышленник должен сидеть за машиной которая подключена к домену и входит группу DnsAdmins . А как попасть в домен, гайда случаем нет?
Добрый день ! Гайда не находил :(

Добрый день. Я правильно понимаю, dnscmd /config подменяет существующую в Windows dll на test.dll?
Добрый день !

"Now that we have the DLL and we checked that it is working, we can ask the victim DC01 to load our malicious DLL (from the victim controlled network share on host 10.0.0.2) next time the service starts (or when the attacker restarts it)"

Цитата из статьи говорит о том , что данной командой мы просим сервер подгрузить нашу .dll . Вы правы !

метода да, хороша , но ты не указал как найти ту dll куда можно внедрится от имени юзера или с данными правами, то есть провернуть подмену) а это все есть))
раз начал поведывать, то огласи как, чем и к кому!))
Доброго времени ! Исправлюсь :)
 

Ondrik8

prodigy
Green Team
08.11.2016
1 129
3 186
BIT
0
Всем привет. В этой атаке, я так понимаю, злоумышленник должен сидеть за машиной которая подключена к домену и входит группу DnsAdmins . А как попасть в домен, гайда случаем нет?
есть их полно, достаточно просто в сетку вражескую попасть) а там уже боковое движение мутить) но перед этим нужно глянуть какие пакеты летают в сети) NBT-NS, BROWSER, LLMNR, DNS в общем responder, crackmapexec , bloodhound и + хотя бы какая нибудь Empire-PowerShell , этой связки вполне должно хватить)
 
  • Нравится
Реакции: kot-gor

clevergod

Platinum
22.04.2017
119
673
BIT
10
Уважаемый автор, название твоей статьи слишком громко звучит (От DnsAdmins до администратора доменного контроллера). Обзорчик уязвимости этой можно допилить, чтобы получилась полноценная статья с нормальными изображениями и логикой.
Поясняю, вводную часть необходимо подать с небольшим вступлением о том, в каких случаях это может произойти, изображения очень плохого качества ну или хотябы увеличить разрешение, если ты показываешь уязвимость поднятия привилегий до админа домена - покажи не whoami /all а именно то, что данный пользователь в домене и его доменные права и группы net user %username% /domain и состав группы админов домена до атаки net group 'Domain Administrators' /domain а затем тем же самым запросы после поднятия привилегий до админа домена. В твоем случае ты поднялся до системы и не более того. В большинстве нормально защищенных сетях с проактивной защитой и защитой обхода инъекций даже при очень хорошо обфусцированной нагрузке дальше системы ты так не поднимешься, но попав на конроллер сможешь сдампить все хеши пользователей и дальше их брутить или использовать импакет ну или голден тикет. В твоем случае логика закончилась на том, что ты считаешь что теперь можно сдампить пароль Админа домена мимикатзом наверное, т.е. ты даже этого не пояснил. Просто ты пойми, складывается ощущение, что ты просто скопипастил статью, сделал все по мануалу, но не имеешь большого опыта работы в доменных сетях или упустил просто важные вещи...
 

FlowLight

Green Team
31.07.2017
29
31
BIT
0
Уважаемый автор, название твоей статьи слишком громко звучит (От DnsAdmins до администратора доменного контроллера). Обзорчик уязвимости этой можно допилить, чтобы получилась полноценная статья с нормальными изображениями и логикой.
Поясняю, вводную часть необходимо подать с небольшим вступлением о том, в каких случаях это может произойти, изображения очень плохого качества ну или хотябы увеличить разрешение, если ты показываешь уязвимость поднятия привилегий до админа домена - покажи не whoami /all а именно то, что данный пользователь в домене и его доменные права и группы net user %username% /domain и состав группы админов домена до атаки net group 'Domain Administrators' /domain а затем тем же самым запросы после поднятия привилегий до админа домена. В твоем случае ты поднялся до системы и не более того. В большинстве нормально защищенных сетях с проактивной защитой и защитой обхода инъекций даже при очень хорошо обфусцированной нагрузке дальше системы ты так не поднимешься, но попав на конроллер сможешь сдампить все хеши пользователей и дальше их брутить или использовать импакет ну или голден тикет. В твоем случае логика закончилась на том, что ты считаешь что теперь можно сдампить пароль Админа домена мимикатзом наверное, т.е. ты даже этого не пояснил. Просто ты пойми, складывается ощущение, что ты просто скопипастил статью, сделал все по мануалу, но не имеешь большого опыта работы в доменных сетях или упустил просто важные вещи...
Доброго времени ! Ок :)
 
  • Нравится
Реакции: Сергей Попов
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!