域渗透——DNS记录与MachineAccount

0x00 前言

在之前的文章《域渗透——DNS记录的获取》和《域渗透——普通用户权限获得DNS记录》介绍了在域环境下获得DNS记录的方法，有助于我们快速了解域内的网络架构。

但是，DNS记录只能作为辅助判断，DNS记录、DNS记录中对应的MachineAccount(机器帐户)和实际的计算机三者之间不存在对应关系

域内的非特权用户能够自由创建DNS记录和MachineAccount

本文将要介绍域内非特权用户创建DNS记录与MachineAccount的方法，记录需要掌握的知识点

0x01 简介

本文将要介绍以下内容：

• MachineAccount简介
• 非特权用户创建MachineAccount的方法
• 非特权用户创建DNS记录的方法

0x02 MachineAccount简介

1.MachineAccount

每当一个计算机加入域中，都会创建一个机器帐户(MachineAccount)，作为”Domain Computers”组的成员

在域环境中可以通过以下命令获得所有机器帐户的列表:

net group "Domain Computers" /domain

每一个机器帐户名以字符$结尾

注：

使用Mimikatz的DCSync功能导出所有用户hash时，也会导出所有机器帐户的hash

如果获得了机器帐户的hash，可以用来制作白银票据(Silver Ticket)，接着获得对应服务的访问权限，利用方法可参考之前的文章《域渗透——Pass The Ticket》

2.MachineAccountQuota

用来表示允许用户在域中创建的计算机帐户数，默认为10

说明文档：

https://docs.microsoft.com/en-us/windows/win32/adschema/a-ms-ds-machineaccountquota

关于MachineAccountQuota(MAQ)的介绍可参考资料：

https://blog.netspi.com/machineaccountquota-is-useful-sometimes/

这里仅对参考资料中提到的10个规则做简要总结并添加个人理解，特点如下：

(1)允许非特权用户通过MAQ创建计算机帐户，默认为10个，但无法删除创建的计算机账户

禁用MAQ的方法可参考：https://social.technet.microsoft.com/wiki/contents/articles/5446.active-directory-how-to-prevent-authenticated-users-from-joining-workstations-to-a-domain.aspx

(2)创建者帐户的SID存储在计算机帐户的ms-DS-CreatorSID属性中

也就是说，对于通过MAQ创建的计算机帐户，查看ms-DS-CreatorSID属性能够找到创建者帐户的SID

(3)通过MAQ创建的计算机帐户将放入”Domain Computers”组中

(4)通过MAQ创建的计算机帐户，可修改以下属性：

• AccountDisabled
• description
• displayName
• DnsHostName
• ServicePrincipalName
• userParameters
• userAccountControl
• msDS-AdditionalDnsHostName
• msDS-AllowedToActOnBehalfOfOtherIdentity
• samAccountName

其中AccountDisabled属性可以用来禁用该用户

userAccountControl属性记录了用户的属性信息，具体可参考https://support.microsoft.com/en-us/help/305144/how-to-use-useraccountcontrol-to-manipulate-user-account-properties

(5)添加计算机帐户将创建以下4个SPN：

• HOST/MachineAccountName
• HOST/MachineAccountName.domain.name
• RestrictedKrbHost/MachineAccountName
• RestrictedKrbhost/MachineAccountName.domain.name

(6)机器帐户没有本地登录权限

但可以通过”runas /netonly”执行命令

0x03 非特权用户创建MachineAccount的方法

1.Powershell实现

需要使用Powermad

通过MAQ创建计算机帐户testNew的命令如下：

New-MachineAccount -MachineAccount testNew -Password $(ConvertTo-SecureString "123456789" -AsPlainText -Force)

查看计算机帐户testNew的完整属性：

Get-ADComputer testNew -Properties *

具体包括以下属性：

• AccountExpirationDate
• accountExpires
• AccountLockoutTime
• AccountNotDelegated
• AllowReversiblePasswordEncryption
• AuthenticationPolicy
• AuthenticationPolicySilo
• BadLogonCount
• badPasswordTime
• badPwdCount
• CannotChangePassword
• CanonicalName
• Certificates
• codePage
• CompoundIdentitySupported
• countryCode
• Created
• createTimeStamp
• Deleted
• Description
• DisplayName
• DistinguishedName
• DNSHostName
• DoesNotRequirePreAuth
• dSCorePropagationData
• Enabled
• HomedirRequired
• HomePage
• instanceType
• IPv4Address
• IPv6Address
• isCriticalSystemObject
• isDeleted
• KerberosEncryptionType
• LastBadPasswordAttempt
• LastKnownParent
• lastLogoff
• lastLogon
• LastLogonDate
• localPolicyFlags
• Location
• LockedOut
• logonCount
• ManagedBy
• MemberOf
• MNSLogonAccount
• Modified
• modifyTimeStamp
• mS-DS-CreatorSID
• msDS-User-Account-Control-Computed
• nTSecurityDescriptor
• ObjectCategory
• ObjectClass
• ObjectGUID
• objectSid
• OperatingSystem
• OperatingSystemHotfix
• OperatingSystemServicePack
• OperatingSystemVersion
• PasswordExpired
• PasswordLastSet
• PasswordNeverExpires
• PasswordNotRequired
• PrimaryGroup
• primaryGroupID
• PrincipalsAllowedToDelegateToAccount
• ProtectedFromAccidentalDeletion
• pwdLastSet
• SamAccountName
• sAMAccountType
• sDRightsEffective
• ServiceAccount
• servicePrincipalName
• ServicePrincipalNames
• SIDHistory
• TrustedForDelegation
• TrustedToAuthForDelegation
• UseDESKeyOnly
• userAccountControl
• userCertificate
• UserPrincipalName
• uSNChanged
• uSNCreated
• whenChanged
• whenCreated

注：

Get-ADComputer命令需要用到ActiveDirectory模块，域控制器一般会安装

对于未安装Active Directory模块的系统，可以通过如下命令导入Active Directory模块：

import-module .\Microsoft.ActiveDirectory.Management.dll

Microsoft.ActiveDirectory.Management.dll在安装powershell模块Active Directory后生成，我已经提取出来并上传至github：

https://github.com/3gstudent/test/blob/master/Microsoft.ActiveDirectory.Management.dll

Powermad也支持查看计算机帐户的属性，但需要指定具体要查看的属性

例如查看servicePrincipalName属性的命令如下：

Get-MachineAccountAttribute -MachineAccount testNew -Attribute servicePrincipalName

注：

Powermad的Get-MachineAccountCreator命令能够枚举所有计算机帐户(MachineAccount)的创建者

修改计算机帐户的属性可使用Powermad的Set-MachineAccountAttribute命令，支持修改的属性如下：

• AccountDisabled
• description
• displayName
• DnsHostName
• ServicePrincipalName
• userParameters
• userAccountControl
• msDS-AdditionalDnsHostName
• msDS-AllowedToActOnBehalfOfOtherIdentity
• SamAccountName

实例如下：

Set-MachineAccountAttribute -MachineName testNew -Attribute SamAccountName -Value test

2.C#实现

SharpAllowedToAct包含了这个功能

我将其中创建MachineAccount的功能提取出来，简单修改后使其支持csc.exe或Visual Studio编译

完整代码已上传至github，地址如下：

https://github.com/3gstudent/Homework-of-C-Sharp/blob/master/AddMachineAccountofDomain.cs

可以使用Visual Studio创建C#工程编译AddMachineAccountofDomain.cs生成exe文件，也可以将AddMachineAccountofDomain.cs上传至测试环境，使用csc.exe进行编译

使用csc.exe进行编译的环境支持.Net3.5或更高版本

编译命令如下：

C:\Windows\Microsoft.NET\Framework64\v3.5\csc.exe AddMachineAccountofDomain.cs /r:System.DirectoryServices.dll,System.DirectoryServices.Protocols.dll
or
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe AddMachineAccountofDomain.cs /r:System.DirectoryServices.dll,System.DirectoryServices.Protocols.dll

0x04 非特权用户创建DNS记录的方法

这里可以使用Powermad中的Invoke-DNSUpdate.ps1

Invoke-DNSUpdate命令支持添加以下记录：

• CNAME

添加机器帐户testNew的A记录，命令如下：

Invoke-DNSUpdate -DNSType A -DNSName testNew -DNSData 192.168.1.111

删除此记录的命令如下：

Invoke-DNSUpdate -DNSType A -DNSName testNew

非特权用户无法修改或删除已有的记录

更多细节可参考资料：

https://blog.netspi.com/exploiting-adidns/

0x05 小结

本文介绍了域内非特权用户创建DNS记录与MachineAccount的方法，证明了DNS记录只能作为辅助判断域内网络架构的方法

站在防御的角度，如果攻击者只有域内非特权用户的权限，在尝试通过MAQ创建计算机帐户时，如果没有获得更高权限，就无法清除攻击痕迹(无法删除通过MAQ创建的计算机帐户)，可通过查看计算机帐户的创建者找到攻击者控制的用户

LEAVE A REPLY