域渗透之SPN与Kerberoasting攻击详解<\/h1>

一、SPN基础概念<\/h2>

1. SPN定义<\/h3>
SPN(Service Principal Names)即服务主体名称，是服务实例(如HTTP、SMB、MySQL等服务)的唯一标识符。在Kerberos身份验证中，SPN用于将服务实例与服务登录帐户相关联。<\/p>

2. SPN类型<\/h3>

SPN分为两种注册类型：<\/p>

机器账户(Computers)下注册<\/strong>：当服务权限为Local System或Network Service时，SPN注册在机器账户下<\/li>

域用户账户(Users)下注册<\/strong>：当服务权限为域用户时，SPN注册在域用户账户下<\/li> <\/ul>
3. SPN格式<\/h3>
标准SPN格式为：serviceclass\/host:port\/servicename<\/code><\/p>
例如：MSSQLSvc\/sqlsrv.test.com:1433<\/code><\/p>
二、SPN注册机制<\/h2> 1. 默认权限<\/h3> 域内机器账户默认有权注册SPN<\/li> 普通域用户账户默认无权注册SPN<\/li> <\/ul> 2. SQL Server的特殊情况<\/h3> SQL Server在每次启动时都会尝试用自己的启动账号注册SPN：<\/p> 使用"Local System account"启动：Kerberos能够成功，因为可以在DC上注册SPN<\/li> 使用普通域用户启动：Kerberos失败，因为SPN注册不上去<\/li> <\/ul> 3. 为域账号赋予SPN权限<\/h3> 在DC上需要为域账号赋予以下权限才能注册SPN：<\/p> "Read servicePrincipalName"<\/li> "Write serverPrincipalName"<\/li> <\/ul> 三、SPN发现技术<\/h2> 1. 使用Setspn工具<\/h3> Setspn -Q *\/* <\/code><\/pre> 2. 使用PowerShell<\/h3> # 加载必要程序集<\/span> <\/span><\/span>Add-Type -AssemblyName System.IdentityModel <\/span><\/span> <\/span><\/span># 请求特定SPN的TGS<\/span> <\/span><\/span>New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "MSSQLSvc\/sqlsrv.test.com:1433"<\/span> <\/span><\/span><\/code><\/pre>四、Kerberoasting攻击详解<\/h2> 1. 攻击原理<\/h3> 任何域内主机用户或普通域用户都可以查询SPN<\/li> 向域内所有服务请求TGS票据<\/li> 对获取的TGS票据进行离线暴力破解<\/li> 只有域用户下的SPN票据破解后可用于远程连接<\/li> <\/ul> 2. 攻击步骤<\/h3> 步骤1：发现SPN<\/h4> 使用上述SPN发现技术识别域内服务<\/p> 步骤2：请求SPN票据<\/h4> 使用PowerShell请求特定服务的TGS票据<\/p> 步骤3：导出票据<\/h4> 使用Mimikatz导出Kerberos票据：<\/p> mimikatz # kerberos::list \/export <\/code><\/pre> 步骤4：破解票据<\/h4> 使用kerberoast工具破解：<\/p> python3 tgsrepcrack.py pass.txt "2-40a10000-w10a<\/span>$@MSSQLSvc~sqlsrv.test.com~1433-TEST.COM.kirbi"<\/span> <\/span><\/span><\/code><\/pre>3. 高级攻击手法<\/h3> 如果获得有权注册SPN的域账号，可以手动注册SPN进行Kerberoasting攻击<\/p> 五、防御措施<\/h2> 1. 权限控制<\/h3> 严格控制"Write serverPrincipalName"权限的分配<\/li> 限制普通用户注册SPN的能力<\/li> <\/ul> 2. 账户策略<\/h3> 对服务账户使用强密码策略<\/li> 定期轮换服务账户密码<\/li> <\/ul> 3. 监控与检测<\/h3> 监控异常的SPN查询请求<\/li> 检测异常的TGS请求模式<\/li> 实施Kerberos事件日志监控<\/li> <\/ul> 4. 最佳实践<\/h3> 对关键服务使用组托管服务账户(gMSA)<\/li> 实施特权账户管理(PAM)解决方案<\/li> 定期审计SPN配置<\/li> <\/ul> 六、总结<\/h2> SPN扫描和Kerberoasting攻击是域渗透中的重要技术，攻击者可以通过这些技术获取服务账户凭据，进而提升权限。理解SPN的注册机制和Kerberos认证流程对于防御此类攻击至关重要。通过严格的权限控制、强密码策略和有效的监控措施，可以显著降低此类攻击的风险。<\/p>

域渗透之SPN与Kerberoasting攻击详解<\/h1>

一、SPN基础概念<\/h2>

1. SPN定义<\/h3> SPN(Service Principal Names)即服务主体名称，是服务实例(如HTTP、SMB、MySQL等服务)的唯一标识符。在Kerberos身份验证中，SPN用于将服务实例与服务登录帐户相关联。<\/p>

3. SPN格式<\/h3> 标准SPN格式为：serviceclass\/host:port\/servicename<\/code><\/p> 例如：MSSQLSvc\/sqlsrv.test.com:1433<\/code><\/p>

三、SPN发现技术<\/h2>

四、Kerberoasting攻击详解<\/h2>

2. 攻击步骤<\/h3>

步骤1：发现SPN<\/h4> 使用上述SPN发现技术识别域内服务<\/p>

步骤2：请求SPN票据<\/h4> 使用PowerShell请求特定服务的TGS票据<\/p>

3. 高级攻击手法<\/h3> 如果获得有权注册SPN的域账号，可以手动注册SPN进行Kerberoasting攻击<\/p>

五、防御措施<\/h2>

1. SPN定义<\/h3>
SPN(Service Principal Names)即服务主体名称，是服务实例(如HTTP、SMB、MySQL等服务)的唯一标识符。在Kerberos身份验证中，SPN用于将服务实例与服务登录帐户相关联。<\/p>

3. SPN格式<\/h3>
标准SPN格式为：`serviceclass\/host:port\/servicename<\/code><\/p>`
`例如：MSSQLSvc\/sqlsrv.test.com:1433<\/code><\/p>`

步骤1：发现SPN<\/h4>
使用上述SPN发现技术识别域内服务<\/p>

步骤2：请求SPN票据<\/h4>
使用PowerShell请求特定服务的TGS票据<\/p>

3. 高级攻击手法<\/h3>
如果获得有权注册SPN的域账号，可以手动注册SPN进行Kerberoasting攻击<\/p>