SPN扫描–无需网络端口扫描的进行信息收集

最新推荐文章于 2023-03-29 17:23:26 发布
最新推荐文章于 2023-03-29 17:23:26 发布
阅读量1.2k 收藏
点赞数
分类专栏: 内网渗透 Windows 漏洞经验 文章标签: windows 域渗透 内网渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ping_Pig/article/details/108904097
版权
内网渗透 同时被 3 个专栏收录
34 篇文章 12 订阅
订阅专栏
Windows
32 篇文章 10 订阅
订阅专栏
漏洞经验
17 篇文章 7 订阅
订阅专栏

目录

讲在前面

简介SPN的知识点:

SPN命名实例

SPN默认实例

部分查询SPN脚本

windows自带setspn.exe,部分命令如下:

GetUserSPNs.ps1

GetUserSPNs.vbs

PowerView.ps1

总结:

讲在前面

在Active Directory环境中发现服务的最佳方法是通过所谓的“ SPN扫描”。攻击者进行SPN扫描的主要好处是,SPN扫描不需要连接到域内网络上的每个IP即可检查服务端口。SPN扫描通过对域控制器的LDAP查询执行服务发现。由于SPN查询是正常Kerberos票证行为的一部分,因此即使是攻击者,检测也很难发现是善意还是恶意的查询,而netowkr端口扫描非常明显。

发现利用Kerberos身份验证的服务时需要服务主体名称(SPN: Service Principal Names

简介SPN的知识点:

SPN 是服务使用 Kerberos 身份认证协议在网络上的唯一标识符,它由服务类、主机名和端口组成。在使用 Kerberos 身份认证的网络中,必须在内置计算机帐户(如 NetworkService 或 LocalSystem)或用户帐户下为服务器注册 SPN。对于内置帐户,SPN 将自动进行注册。但是,如果在域用户帐户下运行服务,则必须要使用其帐户手动注册SPN,一个用户账户下可以有多个SPN,但一个SPN只能注册到一个账户

我们处于Active Directory环境中。要了解什么是SPN,我们必须了解Active Directory中的服务概念是什么。服务实际上是一种功能,一种软件,可以由AD(Active Directory)的其他成员使用。例如,你可以拥有Web服务器,网络共享,DNS服务,打印服务等。要识别服务,我们至少需要知道两件事。相同的服务可以在不同的主机上运行,​​因此我们需要指定host,而计算机可以承载多个服务,因此显然需要指定service

SPN命名实例

  • MSSQLSvc / <FQDN>:[<端口> | <instancename>],其中:

    • MSSQLSvc是正在注册的服务。

    • <FQDN>是服务器的标准域名。

    • <port>是TCP端口号。

    • <instancename>是SQL Server实例的名称。

SPN默认实例

  • MSSQLSvc / <FQDN>:<端口> | MSSQLSvc / <FQDN>,其中:

    • MSSQLSvc是正在注册的服务。

    • <FQDN>是服务器的标准域名。

    • <port>是TCP端口号。

注意:新的SPN格式不需要端口号。这意味着多端口服务器或不使用端口号的协议可以使用Kerberos身份验证。

MSSQLSvc/<服务器的标准域名>:<TCP端口>使用TCP时,提供程序生成的默认SPN。<port>是一个TCP端口号
MSSQLSvc/<服务器的标准域名>当使用TCP以外的协议时,提供程序为默认实例提供的默认SPN。<FQDN>是完全限定的域名。
MSSQLSvc/<服务器的标准域名>:<实例的名称>当使用TCP以外的协议时,提供商为命名实例生成的默认SPN。<instancename>是MSSQLSvc实例的名称。

部分查询SPN脚本

注意:域内普通用户可以查询,但只有域管理权限才可以增改删SPN

windows自带setspn.exe,部分命令如下:

查看当前域内所有的SPN:setspn -q */*

查看指定域pig.com注册的SPN:setspn -T pig.com -q */*   如果指定域不存在,则默认切换到查找本域的SPN

查找本域内重复的SPN:setspn -X

删除指定SPN:setspn -D MSSQLSvc/WIN-6IKRAED2RMI.pig.com:hello Administrator   需要域管理员权限

查找指定用户/主机名注册的SPN:setspn -L username/hostname

在指定账户或主机名下注册SPN: setspn -U -A VNC/DC1.test.com Administrator     需要域管理员权限

查看当前域内所有的SPN:setspn -q */*

查看指定域pig.com注册的SPN:setspn -T pig.com -q */*

查找本域内重复的SPN:setspn -X

删除指定SPN:setspn -D MSSQLSvc/WIN-6IKRAED2RMI.pig.com:hello Administrator 

查找指定用户注册的SPN:setspn -L username

查找指定主机名注册的SPN:setspn -L hostname

在指定账户或主机名下注册SPN: setspn -U -A VNC/DC1.test.com Administrator 

GetUserSPNs.ps1

GetUserSPNs.vbs

PowerView.ps1

总结:

在实战中,我们可以通过SPN扫描,避免内网中的某些防火墙的检测。望各位结合实战环境和自己的偏好进行使用,当然impacket和Empire的工具集内已集成了收集SPN的脚本和模块,您可以深入研究其用法。

Ping_Pig
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【安全技术】红队之windows信息收集思路
HBohan的博客
10-09 691
前言 很久没做内网了,温习一下。希望正在学习安全的小伙伴不要踏入我初学内网的误区。 先来谈谈我对内网的理解吧,不是技术的方向。 内网学的东西很多,很杂。当时我问了我的大哥,他给我的一句话确实影响我至今。我说内网就说信息收集,cmd命令能收集,powershell收集也很多,还有类似wmic,或者一些脚本语言写的信息收集工具,太多了,这些都要学真的太浪费时间了。他是这么跟我说的,很多东西你要学一辈子都学不完,但是你把一个东西学好了,结果都是一样的。确实是这么个道理,学习需要广度,能让你碰到不同的情况乃至极限情
华为SPN电力承载网解决方案.pdf
05-11
1. 电力承载网分析 2. SPN关键技术介绍 3. 电力SPN解决方案建议 基于创新以太技术,刚柔并济打造新一代SPN网络
无需客户端扫描网抓取返回信息
云计算社区-CSDN博客
05-20 346
上一个章节中和大家讨论了如何编写一个程序获取到本机的Windows 系统安装了哪些HotFix(补丁程序)、开放了哪些端口、哪些共享;之后我们会讨论如何再开发一个管理端,由管理端网络指令命令客户端程序自我扫描后把结果返回回来。这里需要一些储备知识关于WinSocket 的。 昨天晚上有看客与我讨论,有没有可能不通过客户端程序(即不用在客户机上事先安装特定的程序)就能扫描到客户机的主要信息。实际上
无需客户端探测远端电脑已开放的TCP 端口
云计算社区-CSDN博客
05-20 818
接上一章节,在明确了具体客户机是活着,就可以通过对个IP 地址的特定端口发起连接,如果可以连接就可以判断这个端口是开放的,很多时候会使用Telnet 和连接某个IP 的端口原理相同,但是注意从程序角度来讲TCP 和UDP 是有区别的,你用Telnet 去连接一个UDP 的端口一样是失败,因为UDP 也不需要连接,今天还是先讨论如何探测一个IP 上一个范围内的TCP端口是否是开放的。 所谓的探测其
一个检查SPN的小工具
weixin_34077371的博客
09-24 346
如果大家配过kerberos的话会发现,AD本身并没有一个可以检查SPN的工具,而SPN一旦配重复的话会出现奇怪的错误,所以我就写了这么一个简单的工具。 截图   使用时候,输入你要查询的AD的名称或者IP,然后输入一个该的用户信息, 然后就可以按照SPN相信进行搜索了,“*”代表的是任意SPN均被搜索,当然此处支持模糊查询。 下载地址: http://cid-5f7c10941...
zabbix使用客户端和不使用客户端监控指定端口
weixin_34364135的博客
04-10 415
监控指定端口也很简单,以监控181主机的22端口为例 点击已成功监控的181主机的监控项 点击创建监控项 使用客户端监控端口:选择键值net.tcp.listen[port],需要自己把port改成22。正在监听,返回结果1,未监听返回结果0。 不使用客户端监控端口(以监听3306端口为例):选择键值net.tcp.listen[tcp,172.16.1.181,330...
SAE-J1939标准的SPN概况信息查询表
09-20
简单明了把所有的SPN概况都表列出来了!对理解SPN的全貌和在SAE-J1939-71文档中进一步查询相应的细节很有帮助。
5G传输网SPN技术及应用分析.docx
04-09
为充分满足5G网络低时延与大带宽等承载需求,有效改进传输网开放性与拓展性程度低的问题,研究与阐述了5G传输网SPN技术。本文首先从5G传输网承载需求着手,分析了SPN技术概念和特点,然后探讨了面向5G传输网的SPN...
SPN和FMI自制计算器
最新发布
02-21
在"故障码计算器"这个项目中,开发者可能创建了一个交互式的Python程序,用户可以输入故障码(DTC,Diagnostic Trouble Codes),程序会根据预设的数据库或API接口查找对应的SPN和FMI信息。这个工具可以极大地提高...
SPN设计理念和核心技术.pdf
06-04
SPN设计理念是将5G网络切片化,每个切片可以独立承载不同的ToB业务,提供灵活、可靠和高性能的网络服务。 SPN核心技术包括小颗粒技术、总结技术和核心技术。小颗粒技术可以实现SPN小颗粒网络的建设,提供高性能和高...
【内网安全】横向移动&Kerberos攻击&SPN扫描&WinRM&WinRS&RDP
今天是几号的博客
03-29 1005
请求的Kerberos服务票证的加密类型是RC4_HMAC_MD5,这意味着服务帐户的NTLM密码哈希用于加密服务票证。如果我们有一个为用户帐户注册的任意SPN,那么该用户帐户的明文密码的NTLM哈希值就将用于创建服务票证。黑客可以使用有效的用户的身份验证票证(TGT)去请求运行在服务器上的一个或多个目标服务的服务票证。DC在活动目录中查找SPN,并使用与SPN关联的服务帐户加密票证,以便服务能够验证用户是否可以访问。•服务票据的暴力破解(使用密码字典进行RC4协议破解)cs 内置端口扫描3389。
信息收集——端口服务信息
weixin_45746283的博客
11-25 732
信息收集之端口信息收集,包括常见端口及漏洞,扫描端口方法及常用工具。
渗透-SPN与kerberoast攻击
m0_58596609的博客
11-15 1909
一:SPN服务主体名称 SPN(ServicePrincipal Names)服务主体名称,是服务实例(比如:HTTP、MSSQL、MySQL等服务)的唯一标识符。 1.1:SPN介绍 Kerberos认证过程使用SPN将服务实例与服务登录账户相关联,如果想使用 Kerberos 协议来认证服务,那么必须正确配置SPN。如果在整个林或中的计算机上安装多个服务实例,则每个实例都必须具有自己的 SPN。如果客户端可能使用多个名称进行身份验证,则给定服务实例可以具有多个SPNSPN 始终包含运行..
SPN扫描
无心的博客
09-28 2568
0x01介绍 Kerberos是一种支持票证身份验证的安全协议。如果客户端计算机身份验证请求包含有效的用户凭据和服务主体名称 (SPN),则 Kerberos 身份验证服务器将授予一个票证以响应该请求。然后,客户端计算机使用该票证来访问网络资源。在内部网络中,SPN扫描通过查询向控制器执行服务发现。可以帮助我们识别正在运行重要服务的主机,如终端、交换机、微软SQL等,并隐藏他们。此外,SPN的识...
setspn
wzg1101的专栏
04-02 2883
要使用 Kerberos 身份验证,某种服务必须注册其名称(称为服务主体名称 (SPN)),以及运行该服务所使用的帐户。默认情况下,Active Directory® 目录服务注册 NetBIOS 或者计算机名,并允许计算机帐户使用 Kerberos。如果要以不同帐户或使用不同名称(例如,如果计算机使用其他的 WINS 或 DNS 名)运行服务,那么您可以使用 Setspn.exe 命令行工具设置...
渗透-Kerberoasting服务票据爆破
good good study
03-28 2718
Kerberoast攻击,就是攻击者为了获取目标服务的访问权限,而设法破解Kerberos服务票据并重写它们的过程。这是红队当中非常常见的一种攻击手法,因为它不需要与服务目标服务进行任何交互,并且可以使用合法的活动目录访问来请求和导出可以离线破解的服务票据,以获取到最终的明文密码。之所以出现这种情况,是因为服务票据使用服务帐户的散列(NTLM)进行加密,所以任何用户都可以从服务转储散列,而无需将shell引入运行该服务的系统中。
内网安全 - 横向移动RDP&SPN
acepanhuan的博客
03-17 428
内网安全 - 横向移动RDP&SPN
Setspn.exe
缘起宇轩阁
01-30 8548
下面是使用 Setspn.exe 命令行实用程序的基本语法,其中“accountname”可以是单独的名称,也可以是/名称。 setspn [parameter] accountname Setspn.exe 可以使用下列参数: 参数 功能 示例 -R 重置 HOSTServicePrincipalName。 setspn -R computername -A 添加任意的 SPN。 setspn -A SPN computern
内网-横向 CobaltStrike&SPN&RDP
mingyqf的博客
11-14 829
横向 CobaltStrike&SPN&RDP 本课重点: 案例1:横向移动RDP传递-Mimikatz 案例2:横向移动SPN服务-探针,请求,导出,破解,重写 案例3:横向移动测试流程一把梭哈-CobaltStrike初体验 案例1-横向移动RDP传递-Mimikatz 除了上述讲到的IPC,WMI,SMB等协议的链接外,获取到的明文密码或HASH密文也可以通过RDP协议进行链接操作。 RDP协议连接:判断对方远程桌面服务是否开启(默认:3389),端口扫描判断 RDP明
技术分享 _ 内网渗透手动学习实践1
08-03
文章分为环境搭建、信息收集两个主要部分,并涉及了SPN扫描和端口信息的获取等关键知识点。 首先,环境搭建是任何渗透测试的起点。在这个案例中,作者搭建了一个简单的内网环境,包括一台控制器(DC)、两台普通...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值