Поиск контроллеров домена Active Directory
Life-Hack [Жизнь-Взлом]/ХакингПри проведении внутреннего тестирования на проникновение требуется определить цели атаки.
Одними из главных целей являются контроллеры домена Active Directory. Найти контроллеры домена можно множеством способов.
Получение имени домена
Для начала нам нужно узнать имя домена. Как правило оно передается в параметрах DHCP сервера domain-name (5) и или domain-search (119). Посмотреть значения этих параметров можно в файле /etc/resolv.conf.
Пример файла resolv.conf:
# Generated by NetworkManager search pentestlab.lan nameserver 192.168.1.1 nameserver 192.168.1.2 nameserver 172.16.2.2
соответствено, скорее всего, имя домена — pentestlab.lan.
После получения имени домена, мы можем запросить у DNS сервера список всех контроллеров домена.
Первый способ
Запрос ldap SRV записей.
nslookup -type=srv _ldap._tcp.dc._msdcs.
Пример:
nslookup -type=srv _ldap._tcp.dc._msdcs.pentestlab.lan
Второй способ
Запрос kerberos записей.
dig any _kerberos._tcp.полное_имя_домена
Пример:
dig any _kerberos._tcp.pentestlab.lan
Третий способ
Запрос A записей.
dig полное_имя_домена
Пример:
dig pentestlab.lan
Четвертый способ
Запрос c использованием nltest.
Данный способ работает только с АРМ, который уже входит в состав домена.
nltest /dclist:полное_имя_домена
Пример:
nltest /dclist:pentestlab.lan
Не все способы применимы ко всем доменам, но один из них сработает точно.