SPN 简介
服务主体名称(SPN:ServicePrincipal Names)是服务实例(可以理解为一个服务,比如 HTTP、
MSSQL)的唯一标识符。Kerberos 身份验证使用 SPN 将服务实例与服务登录帐户相关联。如果在整个
林或域中的计算机上安装多个服务实例,则每个实例都必须具有自己的 SPN。如果客户端可能使用多个
名称进行身份验证,则给定服务实例可以具有多个 SPN。SPN 始终包含运行服务实例的主机的名称,
因此服务实例可以为其主机的每个名称或别名注册 SPN。
如果用一句话来说明的话就是如果想使用 Kerberos 协议来认证服务,那么必须正确配置 SPN。
SPN 格式与配置
在 SPN 的语法中存在四种元素,两个必须元素和两个额外元素,其中和为必须元素:
<serviceclass>/<host>:<port>/<service name>
<service class>:标识服务类的字符串
<host>:服务所在主机名称
<port>:服务端口
<service name>:服务名称
例:
为 SQL Server 服务帐户注册SPN
手动注册:
setspn -A MSSQLSvc/http://myhost.redmond.microsoft.com:1433 accountname
对应的命名实例:
setspn -A MSSQLSvc/http://myhost.redmond.microsoft.com/instancename accountname
如果我想把域中一台主机Srv-DB-0day中的 MSSQL 服务注册到 SPN 中则可以使用命令:
setspn -A MSSQLSvc/http://Srv-DB-0day.Oday.org:1433 sqladmin
可以通过下面两个命令来查看已经注册的 SPN。
setspn -q */*
setspn -T http://0day.org -q */*
SPN扫描
在了解了 Kerberos 和 SPN 之后,可以通过 SPN 来获取想要的信息,比如想知道域内哪些主机安装了
什么服务,就不需要再进行批量的网络端口扫描。在一个大型域中通常会有不止一个的服务注册 SPN,
所以可以通过「SPN 扫描」的方式来查看域内的服务。相对于通常的网络端口扫描的优点是不用直接和
服务主机建立连接,且隐蔽性更高。
GetUserSPNs
GetUserSPNs 是 Kerberoast 工具集中的一个 powershell 脚本,用来查询域内注册的 SPN。
Import-module .GetUserSPNs.ps1
PowerView
PowerView 是由 Will Schroeder(https://twitter.com/harmj0y)开发的 Powershell 脚本,在
Powersploit 和 Empire 工具里都有集成,PowerView 相对于上面几种是根据不同用户的 objectsid 来
返回,返回的信息更加详细。
Import-module .powerview.ps1
Get-NetUser -SPN
原理说明
在 SPN 扫描时可以直接通过脚本,或者命令去获悉内网已经注册的 SPN 内容。那如果想了解这个过程
是如何实现的,就需要提到 LDAP 协议。
LDAP 协议全称是 LightweightDirectory Access Protocol,一般翻译成轻量目录访问协议。是一种用来
查询与更新 Active Directory 的目录服务通信协议。AD 域服务利用 LDAP 命名路径(LDAP naming
path)来表示对象在 AD 内的位置,以便用它来访问 AD 内的对象。
LDAP 数据的组织方式:
更直观的说可以把 LDAP 协议理解为一个关系型数据库,其中存储了域内主机的各种配置信息。
在域控中默认安装了 ADSI 编辑器,全称 ActiveDirectory Service Interfaces Editor (ADSI Edit),是一
种 LDAP 的编辑器,可以通过在域控中运行 adsiedit.msc 来打开(服务器上都有,但是只有域控中的
有整个域内的配置信息)。
通过 adsiedit.msc 我们可以修改和编辑 LADP,在 SPN 查询时实际上就是查询 LADP 中存储的内容。
比如在我们是实验环境域 http://0day.org中,存在名为运维组 的一个 OU(OrganizationUnit,可以理解为一
个部门,如行政、财务等等),其中包含了 sqlsvr 这个用户,从用户属性中可以看到 sqlsvr 注册过的
SPN 内容。
在一台主机执行
setspn -T http://0day.org -q */*
命令查询域内 SPN 时,通过抓包可以看到正是通过 LDAP 协议向域控中安装的 LDAP 服务查询了 SPN
的内容。
如图在主机192.168.3.62上执行目录,在域控192.168.3.142可以看到LDAP协议的流量。
流量中的查询结果:
Powershell 脚本其实主要就是通过查询 LDAP 的内容并对返回结果做一个过滤,然后展示出来。
Kerberoasting
介绍 Kerberos 的认证流程时说到,在 KRB_TGS_REP 中,TGS 会返回给 Client 一张票据 ST,而 ST 是
由 Client 请求的 Server 端密码进行加密的。当 Kerberos 协议设置票据为 RC4 方式加密时,我们就可
以通过爆破在 Client 端获取的票据 ST,从而获得 Server 端的密码。
下图为设置 Kerberos 的加密方式,在域中可以在域控的「本地安全策略」中进行设置:
设置RC4 方式加密。
设置完成之后运行里输入「gpupdate」刷新组策略,策略生效。
Kerberoasting攻击方式一
一、在域内主机 PC-Jack 中通过 Kerberoast 中的 GetUserSPNs.vbs 进行 SPN 扫描。
cscript GetUserSPNs.vbs
二、根据扫描出的结果使用微软提供的类 KerberosRequestorSecurityToken 发起 kerberos 请求,申
请 ST 票据。
三、Kerberos 协议中请求的票据会保存在内存中,可以通过 klist 命令查看当前会话存储的 kerberos
票据。
使用 mimikatz 导出。
使用 kerberoast 工具集中的 tgsrepcrack.py 工具进行离线爆破,成功得到jerry账号的密码
admin!@#45
Kerberoasting攻击方式二
Kerberoasting攻击方式一中需要通过 mimikatz 从内存中导出票据,Invoke-Kerberoast 通过提取票据
传输时的原始字节,转换成 John the Ripper 或者 HashCat 能够直接爆破的字符串。
使用 Invoke-Kerberoast 脚本 (这里使用的是 Empire 中的 Invoke-Kerberoast.ps1)。
–outputformat 参数可以指定输出的格式,可选 John the Ripper 和 Hashcat 两种格式
二、使用 HASHCAT 工具进行破解:
Impacket 进行Kerberoasting
这里要用到impacket工具包,该工具包用于对SMB1-3或IPv4 / IPv6 上的TCP、UDP、ICMP、IGMP,
ARP,IPv4,IPv6,SMB,MSRPC,NTLM,Kerberos,WMI,LDAP等协议进行低级编程访问。这里
我们使用的是GetUserSPNs工具,可使用该工具对目标主机进行SPN探测。
其命令用法如下:
输入当前域用户的密码,即可的到票据。
同样对票据进行爆破。
以上资料仅供学习参考请勿做非法操作
如若转载,请注明出处:https://www.mcw3.com/54647.html
相关推荐
-
淘宝网怎么做服装代理?怎么找代理上家呢?如何谈?(淘宝网店服装代理)
感谢邀请,我是光晶哥,服装做代理不是 件容易的事情,如果你确定你要做的是代理的话。 确定你要代理的品牌 如果是有一定知名度的品牌,除了有足够的资金外,还需要有运作成功品牌的经验;如…
-
个人简历工作经历简述50字(个人工作经历简述50字)
理科和工科是高等教育学科分类中的两个重要学科,在经济社会发展进程中起着至关重要的作用。 思高广榕同学会职场群中,四个理工科男神,张令滇,陈兴发、钟志聪和张杰分别分享了他们的职场经历…
-
黄仁勋:GPT-4 的厉害之处,OpenAI 也没说清楚(黄仁勋lori)
在这一轮生成式人工智能迭代潮的关键环节之一,芯片设计公司英伟达似乎没有得到资本市场之外更多人的关注。不同于这批脱颖而出的技术公司,英伟达既提出了先进的训练方法,还设计了让不同类型人…
-
十二星座期末考试成绩排行榜,你排第几名?(十二星座期末考试成绩单)
期末考试应该很多人都考完了吧,让我们看看十二星座的期末考试成绩的排行榜是什么样子的吧! 1、双子座 双子座的脑袋瓜可以说是转的非常快的,所以学习对于他们不在话下,经常看到双子座光顾…
-
海运订舱bc是什么意思海运订舱gp是什么意思
原标题:海运订舱bc是什么意思?海运订舱gp是什么意思? 在海运订舱领域,”BC” 和 “GP” 是两个常见的术语,它们分别代表着集…
-
为什么说职场上不能太老实,不止是吃苦还会吃亏(职场老实人的改变方法作文)
分享职场故事,交流职场经验,欢迎关注“苑燕儿”。 在公司里有这样一个人:平时工作的时候一直都是勤勤恳恳,非常老实,并且个人的品德也很好。如果有了什么功劳,往往都会分给大家,绝不会自…
-
武汉力德健身(武汉力德健身俱乐部怎么样)
好品牌的5个基本要素。成为有价值品牌的要素,大家自己看一看。品牌名字好记顺口,并且你对应的商标已经来了。 如果说你要成为一个有价值的品牌,你还是要在当地有一定的市场份额,意味着你有…
-
发言稿(发言稿格式)
周三下午接到学校通知要求我今天在德育工作会议上作为优秀班主任代表发言,我有点紧张,不知道要说些啥。昨天的课堂上,我对学生讲起这事,让他们说说我的优点,为我提供点线索。答案有好些,最…
-
5种花,一年生一窝,“新手”都能养爆盆,谁养谁赚!(一年生花卉一般为什么植物)
随着人们生活水平提高,生活节奏加快,反倒是越来越多的朋友喜欢去养花了。因为在家里养一些花,不仅能装点生活,而且能亲近大自然,从而让身心更好的放松。 可有些朋友总说养不好花,买来的漂…
-
做中视频计划赚钱,如何起步更快?更容易赚到钱?(新手必看!)(中视频计划怎么赚钱 播放量与收益)
如果你已经参与了中视频伙伴计划很久,或者你本身就是一个自媒体人,你可以划走! 因为我这个视频,是专门针对刚刚参与中视频伙伴计划,或者打算参与的新人,分享一些我做中视频伙伴计划的体会…