SPN扫描–无需网络端口扫描的进行信息收集

最新推荐文章于 2024-11-08 15:24:48 发布
原创 最新推荐文章于 2024-11-08 15:24:48 发布 · 1.8k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #域渗透 #内网渗透

服务主体名称(SPN)在Kerberos身份验证中扮演关键角色,是网络服务的唯一标识。SPN由服务类、主机名和端口组成,用于确保正确服务与请求相匹配。在ActiveDirectory环境中,SPN注册通常是自动的,但用户账户下的服务需手动注册。管理SPN包括查询、检查重复和使用setspn.exe命令进行修改或删除。了解和有效管理SPN有助于提升网络安全和故障排查。

目录

讲在前面

简介SPN的知识点:

SPN命名实例

SPN默认实例

部分查询SPN脚本

windows自带setspn.exe,部分命令如下:

GetUserSPNs.ps1

GetUserSPNs.vbs

PowerView.ps1

总结:

讲在前面

在Active Directory环境中发现服务的最佳方法是通过所谓的“ SPN扫描”。攻击者进行SPN扫描的主要好处是,SPN扫描不需要连接到域内网络上的每个IP即可检查服务端口。SPN扫描通过对域控制器的LDAP查询执行服务发现。由于SPN查询是正常Kerberos票证行为的一部分,因此即使是攻击者,检测也很难发现是善意还是恶意的查询,而netowkr端口扫描非常明显。

发现利用Kerberos身份验证的服务时需要服务主体名称(SPN: Service Principal Names

简介SPN的知识点:

SPN 是服务使用 Kerberos 身份认证协议在网络上的唯一标识符,它由服务类、主机名和端口组成。在使用 Kerberos 身份认证的网络中,必须在内置计算机帐户(如 NetworkService 或 LocalSystem)或用户帐户下为服务器注册 SPN。对于内置帐户,SPN 将自动进行注册。但是,如果在域用户帐户下运行服务,则必须要使用其帐户手动注册SPN,一个用户账户下可以有多个SPN,但一个SPN只能注册到一个账户

我们处于Active Directory环境中。要了解什么是SPN,我们必须了解Active Directory中的服务概念是什么。服务实际上是一种功能,一种软件,可以由AD(Active Directory)的其他成员使用。例如,你可以拥有Web服务器,网络共享,DNS服务,打印服务等。要识别服务,我们至少需要知道两件事。相同的服务可以在不同的主机上运行,​​因此我们需要指定host,而计算机可以承载多个服务,因此显然需要指定service

SPN命名实例

  • MSSQLSvc / <FQDN>:[<端口> | <instancename>],其中:

    • MSSQLSvc是正在注册的服务。

    • <FQDN>是服务器的标准域名。

    • <port>是TCP端口号。

最低0.47元/天 解锁文章
域渗透-Kerberoast 攻击利用详解
渗透之路,攻防之间皆学问
03-28 3369
Kerberoast 攻击是域内渗透中经常使用的一种技术,主要通过利用 Kerberos 协议的特定阶段和加密算法的弱点,尝试破解域内服务的密码。利用前提:获取了一个普通域用户凭据。SPN(Service Principal Name,服务主体名称)是服务的唯一标识符。每个需使用Kerberos来进行身份验证的服务都需要一个SPNSPN的存在有助于确保在Kerberos身份验证中能够正确地识别和授权服务。
【红队】ATT&CK - Active Scanning(主动扫描
不忘初心,护天下安全!
07-21 1246
介绍ATT&CK中主动信息搜集知识,为红队人员提供思路
内网安全 - 域横向移动RDP&SPN
acepanhuan的博客
03-17 677
内网安全 - 域横向移动RDP&SPN
【备忘】日常运维常用命令 - 持续更新
aladinggao的博客
09-24 2605
foreach ($pc in $pcs) {.\psexec \\$pc -s "c:\windows\system32\ipconfig.exe" /registerdns} Get-MailboxFolderPermission -Identity "m@m.com:\calendar" remove-MailboxFolderPermission -Identity "hk.a@m.com:\calendar" -User "u, co" Get-AzureADUser -all $true |
无需客户端扫描局域网抓取返回信息
云计算社区-优快云博客
05-20 427
上一个章节中和大家讨论了如何编写一个程序获取到本机的Windows 系统安装了哪些HotFix(补丁程序)、开放了哪些端口、哪些共享;之后我们会讨论如何再开发一个管理端,由管理端网络指令命令客户端程序自我扫描后把结果返回回来。这里需要一些储备知识关于WinSocket 的。 昨天晚上有看客与我讨论,有没有可能不通过客户端程序(即不用在客户机上事先安装特定的程序)就能扫描到客户机的主要信息。实际上
无需客户端探测远端电脑已开放的TCP 端口
云计算社区-优快云博客
05-20 905
接上一章节,在明确了具体客户机是活着,就可以通过对个IP 地址的特定端口发起连接,如果可以连接就可以判断这个端口是开放的,很多时候会使用Telnet 和连接某个IP 的端口原理相同,但是注意从程序角度来讲TCP 和UDP 是有区别的,你用Telnet 去连接一个UDP 的端口一样是失败,因为UDP 也不需要连接,今天还是先讨论如何探测一个IP 上一个范围内的TCP端口是否是开放的。 所谓的探测其
内网渗透—横向移动&RDP&WinRM&WinRS&SPN扫描&Kerberos攻击
2301_76227305的博客
08-14 1690
总的来说RDP基本在现实中不咋用,因为你要去判断连接的账户当前在线不,被发现的风险较大。WinRM的话可能用的比较多,条件是必须为2008以上的系统才行,不过都2024年了,那些2008以下的老古董估计也没谁用了。kerberos攻击简单来说,就是找到RC4加密方式的服务,然后去请求它让本地生成票据,最后使用工具破解得到密码。PS:这个次是实验弄了整整三天,wcnm,各种环境问题。看了一大堆文章也解决不了,实在是不想管啦。以上便是本次横移的知识了。
Windows内网渗透学习:信息收集SPN扫描实践
文章分为环境搭建、信息收集两个主要部分,并涉及了SPN扫描和端口信息的获取等关键知识点。 首先,环境搭建是任何渗透测试的起点。在这个案例中,作者搭建了一个简单的内网环境,包括一台域控制器(DC)、两台普通...
131天:内网安全-横向移动&Kerberos 攻击&SPN扫描&WinRM&WinRS&RDP
weixin_71529930的博客
08-15 995
RDP利用的三种方式1.直接在当前被控主机上进行远程连接2.建立节点进行连接3.端口转发,(访问当前主机的2222端口等于访问目标的3389)第一种方式(动静太大)直接利用被控主机进行远程连接点击这个图标可以控制输入win+r输入mstsc,输入想访问的ip但是好像需要域管理员设置策略以后才允许普通用户之间连接用管理员用户去登录域控主机第二种方式设置socks代理通过代理利用rdesktop命令远程连接目标主机登录管理员用户在主机中查看会发现,有两个用户登录了这台主机。
一个检查SPN的小工具
weixin_34077371的博客
09-24 421
如果大家配过kerberos的话会发现,AD本身并没有一个可以检查SPN的工具,而SPN一旦配重复的话会出现奇怪的错误,所以我就写了这么一个简单的工具。 截图   使用时候,输入你要查询的AD的名称或者IP,然后输入一个该域的用户信息, 然后就可以按照SPN相信进行搜索了,“*”代表的是任意SPN均被搜索,当然此处支持模糊查询。 下载地址: http://cid-5f7c10941...
内网对抗-信息收集篇&SPN扫描&DC定位&角色区域定性&服务探针&安全防护&凭据获取
最新发布
SuperherRo的博客
11-08 1258
知识点: 1信息收集篇-网络架构-出网&角色&服务&成员 2、信息收集篇-安全防护-杀毒&防火墙&流量监控 3、信息收集篇-密码凭据-系统&工具&网站&网络
zabbix使用客户端和不使用客户端监控指定端口
weixin_34364135的博客
04-10 495
监控指定端口也很简单,以监控181主机的22端口为例 点击已成功监控的181主机的监控项 点击创建监控项 使用客户端监控端口:选择键值net.tcp.listen[port],需要自己把port改成22。正在监听,返回结果1,未监听返回结果0。 不使用客户端监控端口(以监听3306端口为例):选择键值net.tcp.listen[tcp,172.16.1.181,330...
131-横向移动-Kerberos攻击&SPN扫描&WinRM&WinRS&RDP
dreamer292的博客
08-22 978
Kerberos攻击&SPN扫描&WinRM&WinRS&RDP
内网安全】横向移动&Kerberos攻击&SPN扫描&WinRM&WinRS&RDP
今天是几号的博客
03-29 1366
请求的Kerberos服务票证的加密类型是RC4_HMAC_MD5,这意味着服务帐户的NTLM密码哈希用于加密服务票证。如果我们有一个为域用户帐户注册的任意SPN,那么该用户帐户的明文密码的NTLM哈希值就将用于创建服务票证。黑客可以使用有效的域用户的身份验证票证(TGT)去请求运行在服务器上的一个或多个目标服务的服务票证。DC在活动目录中查找SPN,并使用与SPN关联的服务帐户加密票证,以便服务能够验证用户是否可以访问。•服务票据的暴力破解(使用密码字典进行RC4协议破解)cs 内置端口扫描3389。
SPN的相关利用(上)
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
04-18 485
服务主体名称(SPN)是服务实例,可以理解为一个服务,比如mssql,http等等的唯一标识符。如果在整个林或域中的计算机上安装多个服务实例,则每个实例都必须具有自己的 SPN,Kerberos 身份验证使用 SPN 将服务实例与服务登录帐户相关联。
信息收集——端口服务信息
weixin_45746283的博客
11-25 874
信息收集之端口信息收集,包括常见端口及漏洞,扫描端口方法及常用工具。
【安全技术】红队之windows信息收集思路
HBohan的博客
10-09 908
前言 很久没做内网了,温习一下。希望正在学习安全的小伙伴不要踏入我初学内网的误区。 先来谈谈我对内网的理解吧,不是技术的方向。 内网学的东西很多,很杂。当时我问了我的大哥,他给我的一句话确实影响我至今。我说内网就说信息收集,cmd命令能收集,powershell收集也很多,还有类似wmic,或者一些脚本语言写的信息收集工具,太多了,这些都要学真的太浪费时间了。他是这么跟我说的,很多东西你要学一辈子都学不完,但是你把一个东西学好了,结果都是一样的。确实是这么个道理,学习需要广度,能让你碰到不同的情况乃至极限情
域渗透-SPN与kerberoast攻击
m0_58596609的博客
11-15 2280
一:SPN服务主体名称 SPN(ServicePrincipal Names)服务主体名称,是服务实例(比如:HTTP、MSSQL、MySQL等服务)的唯一标识符。 1.1SPN介绍 Kerberos认证过程使用SPN将服务实例与服务登录账户相关联,如果想使用 Kerberos 协议来认证服务,那么必须正确配置SPN。如果在整个林或域中的计算机上安装多个服务实例,则每个实例都必须具有自己的 SPN。如果客户端可能使用多个名称进行身份验证,则给定服务实例可以具有多个SPNSPN 始终包含运行..
SPN扫描
无心的博客
09-28 2812
0x01介绍 Kerberos是一种支持票证身份验证的安全协议。如果客户端计算机身份验证请求包含有效的用户凭据和服务主体名称 (SPN),则 Kerberos 身份验证服务器将授予一个票证以响应该请求。然后,客户端计算机使用该票证来访问网络资源。在内部网络中,SPN扫描通过查询向域控制器执行服务发现。可以帮助我们识别正在运行重要服务的主机,如终端、交换机、微软SQL等,并隐藏他们。此外,SPN的识...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值