当域控制器不在DNS中时，如何确定它？

Question

在渗透测试中，对于一个组织来说是盲目的，意味着没有网络拓扑设计知识，不知道域(S)可能是什么，域控制器在DNS...how中不明显，它能确定域控制器是什么吗？

假设有专用DNS服务器而不是DC处理DNS

是否有任何方法来确定在此场景中域控制器是什么？

Answer 1

加入NMAP潮流:还可以寻找具有TCP端口389 (LDAP)、636 (LDAPS)、3268 (LDAP全局目录)或3269 (LDAPS全局目录)的机器。后两者是特别多汁，因为只有DC可以是一个全局目录服务器。

Answer 2

嗅闻TCP或UDP 88 (Kerberos)等

或者如果您在域上有一个帐户(以防万一)，则从命令提示符运行nltest /dclist:yourdomain.com。

Answer 3

通过TCP广播查找NetBIOS

https://technet.microsoft.com/en-us/library/cc940063.aspx

使用1C查找组名，因为这指示域控制器。我希望在同一个子网上广播这个名称，并使用NBTSTAT -A IP在每台机器上进行查询。