AD域攻防权威指南:一.域控制器信息收集

一、 域信息收集

Active Directory是一个可以通过域控制器来管理连接在同一逻辑网络中的一组计算机和用户系统。Windows域包含以下组件：

• LDAP：可以通过LDAP访问的数据库，并且该数据库实现了符合【MS-DRSR】及【MS-ADTS】规范的几种RPC。
• AS：可以通过Kerberos、NTLM、Netlogon或者WDigest协议访问的身份认证服务器。
• GPO：GPO的管理支持LDAP和SMB协议。
• DNS：支持认证的DNS服务器，客户端使用该DNS定位相关资源

1 、域控制器收集

进入内网的后渗透阶段，一般分为两种情况，一种是工作组渗透，另一种是域渗透。但是即使存在域环境，我们拿到的第一台计算机也不一定在域内，需要通过多种方式确定域控制器的位置，进而控制整个域。

1.1、利用DNS服务查找域控制器

可以通过DNS的SRV记录（Service Record）查找域控制器的IP（地址）。SRV记录明确了哪台计算机提供了何种服务，常见于微软系统的目录管理。DNS可以独立于活动目录，但是活动目录必须有DNS的帮助才能工作。为了让活动目录正常工作，DNS服务器必须支持SRV资源记录。资源记录把服务名字映射为提供服务的服务器名字。活动目录客户和域控制器使用SRV记录决定域控制器的IP地址。

1）在Linux环境查找域控制器位置。通过以下命令查找几个SRV值均可获得域控制器IP地址，如图1-1所示

图1-1 查找 SRV 值获得域控制器 IP 地址

dig -t SRV _gc._tcp.[domain]

dig -g SRV _ldap._tcp.[domain]

dig -t SRV _kerberos._tcp.[domain]

dig -t SRV _kpasswd._tcp.[domain]

2）在Windows环境查找域控制器位置。使用nslookup -q=srv _ldap._tcp.dc._msdcs.[domain]命令，查找这几个SRV值均可获得域控制器IP地址，如图1-2所示

图1-2 查找 SRV 值获得域控制器 IP 地址

1.2、利用默认端口查找域控制器

首先域控制器肯定指的是Windows计算机，可以通过135、139、445、5985端口来判断，并且在80端口运行IIS服务。域控制器一定会运行LDAP服务，默认形况下有4个端口开放，具体的端口协议配置信息如表所示，这些配置信息可以协助我们确认该计算机是不是域控制器，并且DNS服务一般是安装在域控上的，如图1-3所示

表1-1 端口协议配置信息

图1-3 利用默认端口查找域控制器

1.3、在域内通过SAMR获取域控制器地址

使用net group "domain controllers" /domain命令在域内通过SAMR获取域控制器地址，如图1-4所示

图1-4 在域内通过 SAMR 获取域控制器地址