【安全协议】SPN服务主体名称发现详解
2018-06-27 09:48:54来源:红黑联盟 阅读 ()
【安全协议】SPN服务主体名称发现详解。Kerberos是一种支持票证身份验证的安全协议。如果客户端计算机身份验证请求包含有效的用户凭据和服务主体名称 (SPN),则 Kerberos 身份验证服务器将授予一个票证以响应该请求。然后,客户端计算机使用该票证来访问网络资源。在内部网络中,SPN扫描通过 查询向域控制器执行服务发现。这对于红队而言,可以帮助他们识别正在运行重要服务的主机,如终端、交换机、微软SQL等,并隐藏他们。此外,SPN的识别也是kerberoasting攻击的第一步。
Tim Medin在他的Kerberos攻击演讲中很好地解释了SPN。Sean Metcalf还提供了一些有关SPN的资源,其中包括有关Active Directory服务主体名称的系列资源,可在本文结尾处找到。
SetSPN
SetSPN是一个本地windows二进制文件,可用于检索用户帐户和服务之间的映射。该实用程序可以添加,删除或查看SPN注册。
setspn -T pentestlab -Q */*
由于用户已经选择了密码,因此绑定到域用户帐户而不是计算机帐户的服务更可能被配置为弱密码,而对用户有规范名称的服务应该会成为Kerberoasting攻击的针对目标。以下SPN列表中, PENTESTLAB_001服务与用户帐户相关联。
GetUserSPNs
Tim Medin开发了一个PowerShell脚本,它是kerberoast工具包的一部分,可以帮助我们查询活动目录,以发现仅与用户帐户相关联的服务。
powershell_import /root/Desktop/GetUserSPNs.ps1
还有一个VBS脚本也是该工具的一部分,可以为我们提供相同的信息。该脚本可以通过使用本机Windows二进制cscript从Windows命令提示符执行。
cscript.exe GetUserSPNs.vbs
PowerShell AD Recon
除了Tim Medin开发的工具外,Sean Metcalf也开发了各种PowerShell脚本来执行Kerberos侦察。这些脚本是PowerShell AD Recon存储库的一部分,可以在Active Directory中查询服务,例如Exchange,Microsoft SQL,Terminal等。Sean将每个脚本绑定到一个特定的服务,具体取决于你想要发现的SPN。以下脚本将标识网络上的所有Microsoft SQL实例。
powershell_import /root/Discover-PSMSSQLServers.ps1
powershell_execute Discover-PSMSSQLServers
还可以使用PSMSExchangeServers脚本来查找Microsoft Exchange服务器。
powershell_import /root/Discover-PSMSExchangeServers.ps1
powershell_execute Discover-PSMSExchangeServers
枚举服务帐户很重要,因为这些帐户可能配置了弱密码。PasswordLastSet和LastLogon属性,可以为我们提供那些较有可能会设置弱密码的服务指示。
powershell_import /root/Find-PSServiceAccounts.ps1
powershell_execute Find-PSServiceAccounts
Empire
PowerShell Empire还有一个可显示域帐户的服务主体名称(SPN)的模块。
usemodule situational_awareness/network/get_spn
这些服务将以下列格式呈现。
PowerShellery
Scott Sutherland在将Get-SPN模块实现到Empire之前,已经创建了多个Powershell脚本作为PowerShellery的一部分,可以为各种服务收集SPN。其中一些需要PowerShell v2.0的环境,还有一些则需要PowerShell v3.0环境。
Get-SPN -type service -search "*"
结果我们也可以将其转换为表格的形式,以便于我们的浏览。
Get-SPN -type service -search "*" -List yes | Format-Table
这里我再告诉大家一个脚本,可以为我们获取UserSID,服务和实际用户。
Import-Module .\Get-DomainSpn.psm1
Get-DomainSpn
Impacket
服务主体名称(SPN)也可以从未加入域的系统中发现,impacket工具包下的python版GetUserSPNs可以为我们做到这点。但是,无法使用基于token的身份验证,因此与Active Directory进行通信需要获取有效的域凭证。
./GetUserSPNs.py -dc-ip 10.0.0.1 pentestlab.local/test
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
- 联想Broadcom芯片组安全漏洞曝光,至少25款ThinkPad受影响! 2019-08-19
- 哪个操作系统最安全?Linux超越Windows和macOS 2019-08-19
- 三个必须实施的关于减少安全漏洞的数据安全措施 2019-08-19
- 六大常见的云安全误区 2019-08-19
- 用户帐户安全,授权和密码管理的12个最佳实践 2019-08-19
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash