Поиск контроллеров домена Active Directory

[Melody]

При проведении внутреннего тестирования на проникновение требуется определить цели атаки.
Одними из главных целей являются контроллеры домена Active Directory. Найти контроллеры домена можно множеством способов.
Получение имени домена
Для начала нам нужно узнать имя домена. Как правило оно передается в параметрах DHCP сервера domain-name (5) и или domain-search (119). Посмотреть значения этих параметров можно в файле /etc/resolv.conf.
Пример файла resolv.conf:

# Generated by NetworkManager
search pentestlab.lan
nameserver 192.168.1.1
nameserver 192.168.1.2
nameserver 172.16.2.2

соответствено, скорее всего, имя домена — pentestlab.lan.
После получения имени домена, мы можем запросить у DNS сервера список всех контроллеров домена.
Первый способ
Запрос ldap SRV записей.

nslookup -type=srv _ldap._tcp.dc._msdcs.


Пример:
nslookup -type=srv _ldap._tcp.dc._msdcs.pentestlab.lan


Второй способ
Запрос kerberos записей.

dig any _kerberos._tcp.полное_имя_домена

Пример:
dig any _kerberos._tcp.pentestlab.lan


Третий способ
Запрос A записей.

dig полное_имя_домена

Пример:
dig pentestlab.lan


Четвертый способ
Запрос c использованием nltest.
Данный способ работает только с АРМ, который уже входит в состав домена.

nltest /dclist:полное_имя_домена

Пример:
nltest /dclist:pentestlab.lan


Не все способы применимы ко всем доменам, но один из них сработает точно.