cmd定位:net group "Domain controllers" /Domain //查询域控net time /domain//方式来定位域控,显示域控时间
DNS解析记录定位:nslookup -type=all _ldap._tcp.dc._msdcs.tubai.com`
//若当前主机dns为域内dns,则可以通过解析记录定位
端口探测定位:扫描内网中同时开放`389`、`636`与`53`的机器,`389`默认是`LDAP`协 议端口,`636`端口是`LDAPS`,`53`端口默认是DNS端口,主要用于域名解析,通过DNS服 务器可以实现域名与ip地址之间转换,他们都是域控机器开放的端口
SPN扫描定位:由于`SPN`本身就是正常的`kerberos`请求,所以扫描隐蔽,它不同于
`TCP`与`UDP`常规端口扫描。大部分windows已经自带`setspn.exe`,且此操作无需管 理权限
命令:setspn -T tubai.com -Q /
扫描结果中根据:`CN=AD-SERVER,OU=Domain Controllers,DC=tubai,DC=com`来进行域控的定位
