域渗透之SPN服务主体名称

访客4年前关于黑客接单581

以下文章来源于安全加 ,作者谢公子

SPN(ServicePrincipal Names)服务主体名称,是服务实例(比如:HTTP、 *** B、MySQL等服务)的唯一标识符。

下面通过一个例子来说明SPN的作用:

当某用户需要访问MySQL服务时,系统会以当前用户的身份向域控查询SPN为MySQL的记录。当找到该SPN记录后,用户会再次与KDC通信,将KDC发放的TGT作为身份凭据发送给KDC,并将需要访问的SPN发送给KDC。KDC中的TGS服务对TGT进行解密。确认无误后,由TGS将一张允许访问该SPN所对应的服务的ST服务票据和该SPN所对应的服务的地址发送给用户,用户使用该票据即可访问MySQL服务。

SPN分为两种类型:

1.一种是注册在活动目录的机器帐户(Computers)下,当一个服务的权限为 Local System 或 Network Service,则SPN注册在机器帐户(Computers)下。域中的每个机器都会有注册两个2.SPN:HOST/主机名 和 HOST/主机名.xie.com

另一种是注册在活动目录的域用户帐户(Users)下,当一个服务的权限为一个域用户,则SPN注册在域用户帐户(Users)下。

image.png

这里以SQLServer服务注册为例:

SQLServer在每次启动的时候,都会去尝试用自己的启动账号注册SPN。但是在Windows域里,默认普通机器账号有权注册SPN,但是普通域用户账号是没有权注册SPN的。这就会导致这样一个现象,SQL Server如果使用“Local System account”来启动,Kerberos就能够成功,因为SQL Server这时可以在DC上注册SPN。如果用一个域用户来启动,Kerberos就不能成功,因为这时SPN注册不上去。

解决办法:

可以使用工具SetSPN -S来手动注册SPN。但是这不是一个更好的 *** ,毕竟手工注册不是长久之计。如果SPN下次丢了,又要再次手动注册。

所以比较好的 *** ,是让SQL Server当前启动域账号有注册SPN的权力。要在DC上为域账号赋予 “Read servicePrincipalName” 和 “Write serverPrincipalName” 的权限即可。

一、SPN的配置

微软官方文档:https://docs.microsoft.com/zh-cn/windows-server/networking/sdn/security/kerberos-with-spn

在 SPN 的语法中存在四种元素,两个必须元素和两个额外元素,其中 和 为必须元素:

image.png

二、使用SetSPN注册SPN

SetSPN是一个本地Windows二进制文件,可用于检索用户帐户和服务之间的映射。该实用程序可以添加,删除或查看SPN注册。

主机:win7.xie.com

域控:win2008.xie.com

当前用户:xie/test

注:注册SPN需要域管理员权限,普通域成员注册会提示权限不够!

image.png

以test用户的身份进行SPN服务的注册

图片.png

以WIN7主机的身份在DC(win2008.xie.com)上进行SPN服务(SQLServer)的注册

这里由于之前用 test 用户注册过,所以会提示重复,我们可以将端口修改为其他端口,则不是重复的SPN了

image.png

三、SPN的发现

由于每台服务器都需要注册用于Kerberos身份验证服务的SPN,因此这为在不进行大规模端口扫描的情况下收集有关内网域环境的信息提供了一个更加隐蔽的 *** 。

使用SetSPN查询:

windows系统自带的setspn可以查询域内的SPN。

image.png

image.pngimage.png

image.png

PowerShell-AD-Recon:

该工具包提供了一些探测指定SPN的脚本,例如Exchange,Microsoft SQLServer,Terminal等
图片.png

GetUserSPNs.ps1:

GetUserSPNs 是 Kerberoast 工具集中的一个 powershell 脚本,用来查询域内用户注册的 SPN。

image.png

GetUserSPNs.vbs:

GetUserSPNs 是 Kerberoast 工具集中的一个 vbs 脚本,用来查询域内用户注册的 SPN。

image.png

PowerView.ps1:

PowerView是 PowerSpolit 中 Recon目录下的一个powershell脚本,PowerView 相对于上面几种是根据不同用户的 objectsid 来返回,返回的信息更加详细。

图片.png

PowerShellery:

PowerShellery下有各种各样针对服务SPN探测的脚本。其中一些需要PowerShell v2.0的环境,还有一些则需要PowerShell v3.0环境。

image.png

RiskySPN中的Find-PotentiallyCrackableAccounts.ps1:

该脚本可以帮助我们自动识别弱服务票据,主要作用是对属于用户的可用服务票据执行审计,并根据用户帐户和密码过期时限来查找最容易包含弱密码的票据。

image.png

该脚本将提供比klist和Mimikatz更详细的输出,包括组信息,密码有效期和破解窗口。

image.png

使用domain参数,将返回所有具有关联服务主体名称的用户帐户,也就是将返回所有SPN注册在域用户下的用户。

image.png~~~~

MS08067实验室官网:www.ms08067.com

公众号:" Ms08067安全实验室"

Ms08067安全实验室目前开放知识星球: WEB安全攻防,内网安全攻防,Python安全攻防,KALI Linux安全攻防,二进制逆向入门

最后期待各位小伙伴的加入!

相关文章

给深圳高端商务陪伴私人伴游拍照的方式有哪些-【许冰彤】

“给深圳高端陪伴私人伴游拍照的方式有哪些-【许冰彤】” 你有没有想要了解过适合自己的伴游呢其实对于适合自己的伴游,小编认为很多的伴游模特,他们有时候是非常丰富的,而且最主要的是如果有一些非常好的伴游模...

在外省住宾馆或酒店本地能查出记录来吗(和谁

EBK3是一种电子书的格式, 相较TXT的优点 1. ebk文件比同等内容的TXT文件要小许多,大约是同等内容TXT的65%左右,更加节省内存; 2. ebk文件是由TXT文件生成,生成之后带有...

黑客帝国中崔妮蒂同款皮衣(黑客帝国崔妮蒂尼奥)

黑客帝国中崔妮蒂同款皮衣(黑客帝国崔妮蒂尼奥)

本文导读目录: 1、黑客帝国中的武器单品 2、黑客帝国里面的女主角是谁? 3、留胡子、穿浮夸的衣服、留长发的男人都是什么心理? 4、长大后再看《黑客帝国》,会有什么新的感受吗? 5、好...

品之鲜重庆麻辣烫加盟可靠吗?好品牌实力非常可靠

品之鲜重庆麻辣烫加盟可靠吗?好品牌实力非常可靠

跟着经济的成长,餐饮行业的迅速成长,各类百般的美食产物印入各人的眼帘。麻辣烫是美食产物傍边最为有特色的美食产物之一,麻辣烫深受公共消费者的喜爱和青睐,在公共消费者心中有着纷歧样的职位。并且麻辣烫加盟品...

铅笔姓什么(脑筋急转弯)

铅笔姓什么(脑筋急转弯)

面试官在面试的时候,偶尔会不满足于只是常规的问题,他们会突发奇想的问一些其他问题,而这些看似无厘头的难题,正是面试官的一个圈套,是在考验面试者的思维能力。其实,每家公司注入新的血液,都是很重要的,...

绿萝叶子发黄怎么回事,解决绿萝黄叶的三个办法

绿萝换季容易黄叶,“3个”解决办法,返青快冬天照样油亮亮 要是有人问哪种植物最好养,那绿萝肯定是第一的。它对于水分和温度的要求都不会很严苛。家里种植几盆,不但可以装饰家里,也能给人们带来一个好心情。...