网易首页 > 网易号 > 正文 申请入驻

域渗透之SPN服务主体名称

0
分享至

SPN

SPN(ServicePrincipal Names)服务主体名称,是服务实例(比如:HTTP、SMB、MySQL等服务)的唯一标识符。

Kerberos认证过程使用SPN将服务实例与服务登录账户相关联,如果想使用 Kerberos 协议来认证服务,那么必须正确配置SPN。如果在整个林或域中的计算机上安装多个服务实例,则每个实例都必须具有自己的 SPN。如果客户端可能使用多个名称进行身份验证,则给定服务实例可以具有多个SPN。SPN 始终包含运行服务实例的主机的名称,因此服务实例可以为其主机的每个名称或别名注册SPN。一个用户账户下可以有多个SPN,但一个SPN只能注册到一个账户。在内网中,SPN扫描通过查询向域控服务器执行服务发现。这对于红队而言,可以帮助他们识别正在运行重要服务的主机,如终端,交换机等。SPN的识别是kerberoasting攻击的第一步。

..~ . ~ ....~ . ~ ....~ . ~ ....~ . ~ ..

. ~ ..~ . ..~ . ~ ....~ . ~ ....~ . ~ ..

下面通过一个例子来说明SPN的作用:

当某用户需要访问MySQL服务时,系统会以当前用户的身份向域控查询SPN为MySQL的记录。当找到该SPN记录后,用户会再次与KDC通信,将KDC发放的TGT作为身份凭据发送给KDC,并将需要访问的SPN发送给KDC。KDC中的TGS服务对TGT进行解密。确认无误后,由TGS将一张允许访问该SPN所对应的服务的ST服务票据和该SPN所对应的服务的地址发送给用户,用户使用该票据即可访问MySQL服务。

SPN分为两种类型:

1.一种是注册在活动目录的机器帐户(Computers)下,当一个服务的权限为 Local System 或 Network Service,则SPN注册在机器帐户(Computers)下。域中的每个机器都会有注册两个2.SPN:HOST/主机名 和 HOST/主机名.xie.com

另一种是注册在活动目录的域用户帐户(Users)下,当一个服务的权限为一个域用户,则SPN注册在域用户帐户(Users)下。



这里以SQLServer服务注册为例:

SQLServer在每次启动的时候,都会去尝试用自己的启动账号注册SPN。但是在Windows域里,默认普通机器账号有权注册SPN,但是普通域用户账号是没有权注册SPN的。这就会导致这样一个现象,SQL Server如果使用“Local System account”来启动,Kerberos就能够成功,因为SQL Server这时可以在DC上注册SPN。如果用一个域用户来启动,Kerberos就不能成功,因为这时SPN注册不上去。

解决办法:

可以使用工具SetSPN -S来手动注册SPN。但是这不是一个最好的方法,毕竟手工注册不是长久之计。如果SPN下次丢了,又要再次手动注册。

所以比较好的方法,是让SQL Server当前启动域账号有注册SPN的权力。要在DC上为域账号赋予 “Read servicePrincipalName” 和 “Write serverPrincipalName” 的权限即可。


SPN的配置

微软官方文档:https://docs.microsoft.com/zh-cn/windows-server/networking/sdn/security/kerberos-with-spn

在 SPN 的语法中存在四种元素,两个必须元素和两个额外元素,其中 和 为必须元素:

SPN格式:/:/

:标识服务类的字符串,可以理解为服务的名称,常见的有WWW、MySQL、SMTP、MSSQL等;必须元素:服务所在主机名,host有两种形式,FQDN(win7.xie.com)和NetBIOS(win7)名;必须元素:服务端口,如果服务运行在默认端口上,则端口号(port)可以省略;额外元素:服务名称,可以省略;额外元素

一些服务的SPN示例:#Exchange服务exchangeMDB/ex01.xie.com#RDP服务TERMSERV/te01.xie.com#WSMan/WinRM/PSRemoting服务WSMAN/ws01.xie.com


使用SetSPN注册SPN

SetSPN是一个本地Windows二进制文件,可用于检索用户帐户和服务之间的映射。该实用程序可以添加,删除或查看SPN注册。

主机:win7.xie.com

域控:win2008.xie.com

当前用户:xie/test

注:注册SPN需要域管理员权限,普通域成员注册会提示权限不够!


以test用户的身份进行SPN服务的注册

setspn -S SQLServer/win7.xie.com:1433 test #test必须是当前的用户或setspn -U -A SQLServer/win7.xie.com:1433 test #test必须是当前的用户


以WIN7主机的身份在DC(win2008.xie.com)上进行SPN服务(SQLServer)的注册

setspn -S SQLServer/win7.xie.com:1533/MSSQL win7 #win7必须是当前的主机名

这里由于之前用 test 用户注册过,所以会提示重复,我们可以将端口修改为其他端口,则不是重复的SPN了



SPN的发现

由于每台服务器都需要注册用于Kerberos身份验证服务的SPN,因此这为在不进行大规模端口扫描的情况下收集有关内网域环境的信息提供了一个更加隐蔽的方法。


使用SetSPN查询:

windows系统自带的setspn可以查询域内的SPN。

查看当前域内所有的SPN:setspn -Q */*查看指定域xie.com注册的SPN:setspn -T xie.com -Q */* 如果指定域不存在,则默认切换到查找本域的SPN查找本域内重复的SPN:setspn -X删除指定SPN:setspn -D MySQL/win7.xie.com:1433/MSSQL hack查找指定用户/主机名注册的SPN:setspn -L username/hostname






PowerShell-AD-Recon:

该工具包提供了一些探测指定SPN的脚本,例如Exchange,Microsoft SQLServer,Terminal等


#Discover-PSMSSQLServers.ps1的使用,扫描MSSQL服务Import-Module .\Discover-PSMSSQLServers.ps1;Discover-PSMSSQLServers

#Discover-PSMSExchangeServers.ps1的使用,扫描Exchange服务Import-Module .\Discover-PSMSExchangeServers.ps1;Discover-PSMSExchangeServers

#扫描域中所有的SPN信息Import-Module .\Discover-PSInterestingServices.ps1;Discover-PSInterestingServices


GetUserSPNs.ps1:

GetUserSPNs 是 Kerberoast 工具集中的一个 powershell 脚本,用来查询域内用户注册的 SPN。

Import-Module .\GetUserSPNs.ps1



GetUserSPNs.vbs:

GetUserSPNs 是 Kerberoast 工具集中的一个 vbs 脚本,用来查询域内用户注册的 SPN。

cscript .\GetUserSPNs.vbs



PowerView.ps1:

PowerView是 PowerSpolit 中 Recon目录下的一个powershell脚本,PowerView 相对于上面几种是根据不同用户的 objectsid 来返回,返回的信息更加详细。

Import-Module .\PowerView.ps1Get-NetUser -SPN



PowerShellery:

PowerShellery下有各种各样针对服务SPN探测的脚本。其中一些需要PowerShell v2.0的环境,还有一些则需要PowerShell v3.0环境。

#Powershellery/Stable-ish/Get-SPN/ 下Get-SPN.psm1脚本的使用,需要powershell3.0及以上版本才能使用Import-Module .\Get-SPN.psm1Get-SPN -type service -search "*"Get-SPN -type service -search "*" -List yes | Format-Table

#Powershellery/Stable-ish/ADS/ 下Get-DomainSpn.psm1脚本的使用Import-Module .\Get-DomainSpn.psm1Get-DomainSpn



RiskySPN中的Find-PotentiallyCrackableAccounts.ps1:

该脚本可以帮助我们自动识别弱服务票据,主要作用是对属于用户的可用服务票据执行审计,并根据用户帐户和密码过期时限来查找最容易包含弱密码的票据。

Import-Module .\Find-PotentiallyCrackableAccounts.ps1;Find-PotentiallyCrackableAccounts -FullData -Verbose


该脚本将提供比klist和Mimikatz更详细的输出,包括组信息,密码有效期和破解窗口。


使用domain参数,将返回所有具有关联服务主体名称的用户帐户,也就是将返回所有SPN注册在域用户下的用户。

Import-Module .\Find-PotentiallyCrackableAccounts.ps1;Find-PotentiallyCrackableAccounts -Domain "xie.com"


特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
美国年轻女子与海豚发生性关系,分手后海豚沉入水底“自杀”

美国年轻女子与海豚发生性关系,分手后海豚沉入水底“自杀”

译眼看世界
2021-09-19 09:33:33
全员降薪!江西最大地产商股价崩盘,一天跳水87%跌成“仙股”

全员降薪!江西最大地产商股价崩盘,一天跳水87%跌成“仙股”

时代财经
2021-09-20 18:16:13
北影开幕红毯:佟丽娅让人眼前一亮,杨颖变土了,姚晨成功丑到我

北影开幕红毯:佟丽娅让人眼前一亮,杨颖变土了,姚晨成功丑到我

巴塞电影
2021-09-20 21:23:13
深圳隐形富豪,公司资产超8万亿,连许家印缺钱都找他?

深圳隐形富豪,公司资产超8万亿,连许家印缺钱都找他?

红灯停路灯行
2021-09-20 20:13:29
我撞了科尼赛克,保险公司:喝醉装酒驾,我们给你五百万

我撞了科尼赛克,保险公司:喝醉装酒驾,我们给你五百万

要闻每日关注
2021-09-20 14:48:59
恒大的供应商应该怎么办

恒大的供应商应该怎么办

商业小讲堂
2021-09-20 21:12:26
性侵女网友还嫌下体臭 恶狼后悔「不该射进去」成铁证

性侵女网友还嫌下体臭 恶狼后悔「不该射进去」成铁证

世界显微镜
2021-09-20 11:59:38
史上最贵冬天或将来临,黑天鹅正扇动翅膀

史上最贵冬天或将来临,黑天鹅正扇动翅膀

资讯沸点
2021-09-20 15:16:50
靠“山寨”逆袭的东方神秘力量,有多少人曾把它使用在不可描述的地方?

靠“山寨”逆袭的东方神秘力量,有多少人曾把它使用在不可描述的地方?

看鉴人文历史
2021-09-20 15:18:26
难!丰田全部工厂宣布停产!

难!丰田全部工厂宣布停产!

小马开车
2021-09-20 22:20:10
中央政治局常委韩正先后赴珠海、深圳,透露新信号

中央政治局常委韩正先后赴珠海、深圳,透露新信号

政知新媒体
2021-09-20 23:00:21
45岁女人自述:汗蒸馆里见到的出轨男女,真是让人毁三观

45岁女人自述:汗蒸馆里见到的出轨男女,真是让人毁三观

各种矫情各种爱
2021-09-19 14:57:55
美国男子将精液注入注射器,在商场往陌生女人身上扎

美国男子将精液注入注射器,在商场往陌生女人身上扎

APD亚太日报
2021-09-16 17:00:12
为了报复澳大利亚背信弃义的做法,法国要出大招了?

为了报复澳大利亚背信弃义的做法,法国要出大招了?

环球时报评论
2021-09-20 22:13:32
老爵爷弗格森:C罗能适应任何体系 而梅西是个“巴萨球员”

老爵爷弗格森:C罗能适应任何体系 而梅西是个“巴萨球员”

要闻每日关注
2021-09-20 20:01:42
江疏影片场拍戏被抓拍,气场太大被热议,网友:“像洪兴十三妹”

江疏影片场拍戏被抓拍,气场太大被热议,网友:“像洪兴十三妹”

娱乐圈的阿三
2021-09-20 20:37:43
局势升级!默克尔支持马克龙反美,法德打造联军,北约走向解体?

局势升级!默克尔支持马克龙反美,法德打造联军,北约走向解体?

辣妈美食PLUS
2021-09-20 21:13:31
我们就是买了恒大房子的傻逼吧

我们就是买了恒大房子的傻逼吧

过三关翻十倍
2021-09-20 16:36:50
不老女神杨钰莹深圳福田区家里内景曝光,惊人美色惹窒息也!

不老女神杨钰莹深圳福田区家里内景曝光,惊人美色惹窒息也!

侦姐有料
2021-09-18 11:24:24
事项“异常严重”!宣布召回驻美、驻澳大使后,法国又有重磅行动

事项“异常严重”!宣布召回驻美、驻澳大使后,法国又有重磅行动

环球时报国际
2021-09-20 11:41:12
2021-09-21 02:40:49
璇儿爱娱乐
璇儿爱娱乐
搜集娱乐分享娱乐
780文章数 892关注度
往期回顾 全部

科技要闻

iOS15正式版推送:诸多新功能上线 兼容机型覆盖iPhone6s

头条要闻

贵州客船侧翻事故他用绳子救9名学生:他们趴船底呼救

头条要闻

IT男在小区建花园成违建:花30多万 1年建造几小时拆掉

体育要闻

FIFA22曼联球员评分Top16:C罗91居首,B费88次之

娱乐要闻

“甜歌皇后”邓丽君的传奇故事

财经要闻

汽车要闻

明年1月交付 奥迪A7L将于9月26日开启预售

态度原创

亲子
艺术
本地
房产
公开课

亲子要闻

二孩变三孩?执笔画家揭秘语文教材封面背后的故事

艺术要闻

东方陶瓷学会百年回顾展:重聚大英、牛津剑桥珍藏

本地新闻

遵义美景醉世界,正安吉他奏华章

房产要闻

为了出货拼了!这波楼盘让利真诚了许多,能入手吗?

公开课

古代为啥用“黄花闺女”称呼未婚少女?