En una prueba de penetración a ciegas para una organización, lo que significa que no hay conocimiento de la topología de diseño de la red, ni idea de qué dominio (s) podría ser, y el controlador de dominio no es evidente en el DNS ... ¿cómo puede determinarse? ¿Qué es el controlador de dominio?
Suponiendo un servidor DNS dedicado en lugar del DNS de manejo de DC
¿Hay alguna forma de determinar qué es el controlador de dominio en este escenario?
Saltando en el carro de NMAP: también busque máquinas que tengan el puerto TCP 389 (LDAP), 636 (LDAPS), 3268 (Catálogo global de LDAP) o 3269 (Catálogo global de LDAPS). Los dos últimos son particularmente jugosos, ya que solo un DC puede ser un servidor de catálogo global.
Sniff para TCP o UDP 88 (Kerberos), entre otros
O si tiene una cuenta en el dominio (por si acaso), desde el símbolo del sistema ejecute nltest /dclist:yourdomain.com
Busque NetBIOS sobre transmisiones TCP, NBT
Busque nombres de grupo con 1C , ya que esto indica los controladores de dominio. Espero que este nombre se transmita en la misma subred y que se consulte por máquina utilizando NBTSTAT -A IP .
Dependiendo de dónde se esté ejecutando el pentest, uno debería poder determinar el DC consultando los registros SRV para LDAP, Kerberos, GC, etc.
Este enlace de Microsoft TechNet tiene algunos ejemplos.
Lea otras preguntas en las etiquetas windows dns active-directory