网易首页 > 网易号 > 正文 申请入驻

域渗透之SPN服务主体名称

0
分享至

SPN

SPN(ServicePrincipal Names)服务主体名称,是服务实例(比如:HTTP、SMB、MySQL等服务)的唯一标识符。

Kerberos认证过程使用SPN将服务实例与服务登录账户相关联,如果想使用 Kerberos 协议来认证服务,那么必须正确配置SPN。如果在整个林或域中的计算机上安装多个服务实例,则每个实例都必须具有自己的 SPN。如果客户端可能使用多个名称进行身份验证,则给定服务实例可以具有多个SPN。SPN 始终包含运行服务实例的主机的名称,因此服务实例可以为其主机的每个名称或别名注册SPN。一个用户账户下可以有多个SPN,但一个SPN只能注册到一个账户。在内网中,SPN扫描通过查询向域控服务器执行服务发现。这对于红队而言,可以帮助他们识别正在运行重要服务的主机,如终端,交换机等。SPN的识别是kerberoasting攻击的第一步。

..~ . ~ ....~ . ~ ....~ . ~ ....~ . ~ ..

. ~ ..~ . ..~ . ~ ....~ . ~ ....~ . ~ ..

下面通过一个例子来说明SPN的作用:

当某用户需要访问MySQL服务时,系统会以当前用户的身份向域控查询SPN为MySQL的记录。当找到该SPN记录后,用户会再次与KDC通信,将KDC发放的TGT作为身份凭据发送给KDC,并将需要访问的SPN发送给KDC。KDC中的TGS服务对TGT进行解密。确认无误后,由TGS将一张允许访问该SPN所对应的服务的ST服务票据和该SPN所对应的服务的地址发送给用户,用户使用该票据即可访问MySQL服务。

SPN分为两种类型:

1.一种是注册在活动目录的机器帐户(Computers)下,当一个服务的权限为 Local System 或 Network Service,则SPN注册在机器帐户(Computers)下。域中的每个机器都会有注册两个2.SPN:HOST/主机名 和 HOST/主机名.xie.com

另一种是注册在活动目录的域用户帐户(Users)下,当一个服务的权限为一个域用户,则SPN注册在域用户帐户(Users)下。



这里以SQLServer服务注册为例:

SQLServer在每次启动的时候,都会去尝试用自己的启动账号注册SPN。但是在Windows域里,默认普通机器账号有权注册SPN,但是普通域用户账号是没有权注册SPN的。这就会导致这样一个现象,SQL Server如果使用“Local System account”来启动,Kerberos就能够成功,因为SQL Server这时可以在DC上注册SPN。如果用一个域用户来启动,Kerberos就不能成功,因为这时SPN注册不上去。

解决办法:

可以使用工具SetSPN -S来手动注册SPN。但是这不是一个最好的方法,毕竟手工注册不是长久之计。如果SPN下次丢了,又要再次手动注册。

所以比较好的方法,是让SQL Server当前启动域账号有注册SPN的权力。要在DC上为域账号赋予 “Read servicePrincipalName” 和 “Write serverPrincipalName” 的权限即可。


SPN的配置

微软官方文档:https://docs.microsoft.com/zh-cn/windows-server/networking/sdn/security/kerberos-with-spn

在 SPN 的语法中存在四种元素,两个必须元素和两个额外元素,其中 和 为必须元素:

SPN格式:/:/

:标识服务类的字符串,可以理解为服务的名称,常见的有WWW、MySQL、SMTP、MSSQL等;必须元素:服务所在主机名,host有两种形式,FQDN(win7.xie.com)和NetBIOS(win7)名;必须元素:服务端口,如果服务运行在默认端口上,则端口号(port)可以省略;额外元素:服务名称,可以省略;额外元素

一些服务的SPN示例:#Exchange服务exchangeMDB/ex01.xie.com#RDP服务TERMSERV/te01.xie.com#WSMan/WinRM/PSRemoting服务WSMAN/ws01.xie.com


使用SetSPN注册SPN

SetSPN是一个本地Windows二进制文件,可用于检索用户帐户和服务之间的映射。该实用程序可以添加,删除或查看SPN注册。

主机:win7.xie.com

域控:win2008.xie.com

当前用户:xie/test

注:注册SPN需要域管理员权限,普通域成员注册会提示权限不够!


以test用户的身份进行SPN服务的注册

setspn -S SQLServer/win7.xie.com:1433 test #test必须是当前的用户或setspn -U -A SQLServer/win7.xie.com:1433 test #test必须是当前的用户


以WIN7主机的身份在DC(win2008.xie.com)上进行SPN服务(SQLServer)的注册

setspn -S SQLServer/win7.xie.com:1533/MSSQL win7 #win7必须是当前的主机名

这里由于之前用 test 用户注册过,所以会提示重复,我们可以将端口修改为其他端口,则不是重复的SPN了



SPN的发现

由于每台服务器都需要注册用于Kerberos身份验证服务的SPN,因此这为在不进行大规模端口扫描的情况下收集有关内网域环境的信息提供了一个更加隐蔽的方法。


使用SetSPN查询:

windows系统自带的setspn可以查询域内的SPN。

查看当前域内所有的SPN:setspn -Q */*查看指定域xie.com注册的SPN:setspn -T xie.com -Q */* 如果指定域不存在,则默认切换到查找本域的SPN查找本域内重复的SPN:setspn -X删除指定SPN:setspn -D MySQL/win7.xie.com:1433/MSSQL hack查找指定用户/主机名注册的SPN:setspn -L username/hostname






PowerShell-AD-Recon:

该工具包提供了一些探测指定SPN的脚本,例如Exchange,Microsoft SQLServer,Terminal等


#Discover-PSMSSQLServers.ps1的使用,扫描MSSQL服务Import-Module .\Discover-PSMSSQLServers.ps1;Discover-PSMSSQLServers

#Discover-PSMSExchangeServers.ps1的使用,扫描Exchange服务Import-Module .\Discover-PSMSExchangeServers.ps1;Discover-PSMSExchangeServers

#扫描域中所有的SPN信息Import-Module .\Discover-PSInterestingServices.ps1;Discover-PSInterestingServices


GetUserSPNs.ps1:

GetUserSPNs 是 Kerberoast 工具集中的一个 powershell 脚本,用来查询域内用户注册的 SPN。

Import-Module .\GetUserSPNs.ps1



GetUserSPNs.vbs:

GetUserSPNs 是 Kerberoast 工具集中的一个 vbs 脚本,用来查询域内用户注册的 SPN。

cscript .\GetUserSPNs.vbs



PowerView.ps1:

PowerView是 PowerSpolit 中 Recon目录下的一个powershell脚本,PowerView 相对于上面几种是根据不同用户的 objectsid 来返回,返回的信息更加详细。

Import-Module .\PowerView.ps1Get-NetUser -SPN



PowerShellery:

PowerShellery下有各种各样针对服务SPN探测的脚本。其中一些需要PowerShell v2.0的环境,还有一些则需要PowerShell v3.0环境。

#Powershellery/Stable-ish/Get-SPN/ 下Get-SPN.psm1脚本的使用,需要powershell3.0及以上版本才能使用Import-Module .\Get-SPN.psm1Get-SPN -type service -search "*"Get-SPN -type service -search "*" -List yes | Format-Table

#Powershellery/Stable-ish/ADS/ 下Get-DomainSpn.psm1脚本的使用Import-Module .\Get-DomainSpn.psm1Get-DomainSpn



RiskySPN中的Find-PotentiallyCrackableAccounts.ps1:

该脚本可以帮助我们自动识别弱服务票据,主要作用是对属于用户的可用服务票据执行审计,并根据用户帐户和密码过期时限来查找最容易包含弱密码的票据。

Import-Module .\Find-PotentiallyCrackableAccounts.ps1;Find-PotentiallyCrackableAccounts -FullData -Verbose


该脚本将提供比klist和Mimikatz更详细的输出,包括组信息,密码有效期和破解窗口。


使用domain参数,将返回所有具有关联服务主体名称的用户帐户,也就是将返回所有SPN注册在域用户下的用户。

Import-Module .\Find-PotentiallyCrackableAccounts.ps1;Find-PotentiallyCrackableAccounts -Domain "xie.com"


特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
“山寨Dior”玩具现身山姆会员店?山姆回应:已下架停售

“山寨Dior”玩具现身山姆会员店?山姆回应:已下架停售

红星资本局
2022-09-29 15:25:15
巴拉圭总统喊话台湾:想维持“邦交” 必须再来投资10亿美元!

巴拉圭总统喊话台湾:想维持“邦交” 必须再来投资10亿美元!

敏敏的旅途
2022-09-29 20:39:23
马伊琍白宇宣布喜讯!这次,文章坐不住了……

马伊琍白宇宣布喜讯!这次,文章坐不住了……

夜听訫语
2022-09-29 21:42:19
北溪被毁,美国再点一把火,援乌11亿美元,乌军总司令:泽连斯基不需要懂

北溪被毁,美国再点一把火,援乌11亿美元,乌军总司令:泽连斯基不需要懂

国防时报排头兵
2022-09-29 15:23:51
特拉斯“英明神武”:英国金融市场蒸发4730亿美元

特拉斯“英明神武”:英国金融市场蒸发4730亿美元

火星方阵
2022-09-29 19:14:35
江苏扬州,男子贷款20万死亡后,银行要求家属代为偿还获法院支持

江苏扬州,男子贷款20万死亡后,银行要求家属代为偿还获法院支持

以身说法
2022-09-29 15:52:55
邵新宇任湖北省人民政府副省长

邵新宇任湖北省人民政府副省长

环球网资讯
2022-09-29 18:57:03
不是歼-20,外国卫星发现中国西部8架新隐形战机,有点焦虑了

不是歼-20,外国卫星发现中国西部8架新隐形战机,有点焦虑了

张斌观察
2022-09-29 17:09:40
马英九称两岸不是“两个中国”,吕秀莲反击,国台办犀利回应

马英九称两岸不是“两个中国”,吕秀莲反击,国台办犀利回应

欧阳山峰
2022-09-29 12:21:16
注意!今起,昆明主城五区巡游出租汽车正式执行新运价

注意!今起,昆明主城五区巡游出租汽车正式执行新运价

开屏新闻客户端
2022-09-30 09:11:08
1990年,47岁张玉凤外出旅行与群众合影,按处级干部从铁道部离休

1990年,47岁张玉凤外出旅行与群众合影,按处级干部从铁道部离休

欢乐娱乐君jun
2022-09-30 08:20:17
“这是什么鸡?太坑了!”近日,绵阳,女子去餐馆点了一份128元的鸡

“这是什么鸡?太坑了!”近日,绵阳,女子去餐馆点了一份128元的鸡

喜欢你就多吃点
2022-09-29 18:20:19
CCTV5直播调整,中国女篮决战澳大利亚,郑薇立军令状,姚明督战

CCTV5直播调整,中国女篮决战澳大利亚,郑薇立军令状,姚明督战

胖周聊球
2022-09-30 08:43:11
全网震怒!官方旗舰店买4万金饰被周大福起诉引发抵制狂潮!

全网震怒!官方旗舰店买4万金饰被周大福起诉引发抵制狂潮!

魔都囡
2022-09-29 01:10:47
连反击都跑不动了!37岁C罗射门严重下滑:会再一次转型吗?

连反击都跑不动了!37岁C罗射门严重下滑:会再一次转型吗?

米奇兔
2022-09-30 09:05:08
葛荟婕爆料:汪峰刚和我分手,就去追章子怡,同时还追求高圆圆

葛荟婕爆料:汪峰刚和我分手,就去追章子怡,同时还追求高圆圆

小曹讲故事
2022-09-29 20:57:14
9月29日一大早,一向低调的王菲,突然登上了热搜

9月29日一大早,一向低调的王菲,突然登上了热搜

爱穿搭的思思
2022-09-29 11:10:29
女子误骑走别人电动车,返回现场发现自己车还在:1把钥匙开2辆车

女子误骑走别人电动车,返回现场发现自己车还在:1把钥匙开2辆车

阿晓电影解说
2022-09-29 17:50:34
9月30日特斯拉新品发布会有惊喜!机器人“擎天柱”单价2.5万美金

9月30日特斯拉新品发布会有惊喜!机器人“擎天柱”单价2.5万美金

江南布衣客
2022-09-29 23:08:22
强硬回应俄罗斯 美国援乌11亿重武 海马斯火箭炮数量翻倍飙升

强硬回应俄罗斯 美国援乌11亿重武 海马斯火箭炮数量翻倍飙升

武器知识
2022-09-29 20:44:44
2022-09-30 10:36:49
璇儿爱娱乐
璇儿爱娱乐
搜集娱乐分享娱乐
808文章数 909关注度
往期回顾 全部

科技要闻

特斯拉:国产Model 3/Y将大幅降价“消息不实”

头条要闻

欧洲人为过冬囤货 有义乌老板娘卖出80万只热水袋

头条要闻

欧洲人为过冬囤货 有义乌老板娘卖出80万只热水袋

体育要闻

防守给力!进攻凶狠!中国女篮够牛

娱乐要闻

林志玲回国定居 高龄产子半年着急复出

财经要闻

汽车要闻

最高续航705km 欧拉闪电猫将于10月27日上市

态度原创

亲子
家居
旅游
手机
公开课

亲子要闻

秋天的仪式感不要错过 陪孩子一起做这些小事

家居要闻

插画师爆改广州40平老破小 小户型也能是人间理想

旅游要闻

安徽又一景区走红 距黄山景区85公里

手机要闻

杠上了?经济学家9天6次炮轰苹果,呼吁国人:不要成为“韭菜”

公开课

藏獒:从3000万一条的神犬,到流落街头

进入关怀模式