SPN,即Service Principal Name,客户端通过Kerberos请求使用某种服务时,会在请求中附带上需要访问的服务的SPN名称,如文件共享服务cifs/DNS_DOMAIN_NAME,目录访问服务ldap/DNS_DOMAIN_NAME。KDC(密钥分发中心)将通过SPN来确定客户端请求访问的是主机上的哪个具体服务,因为一个主机上通常情况下同时提供多种支持Kerberos认证的服务,随后,KDC将使用该服务账号的密码哈希来对票据进行加密。

SPN(Service Principal Name) - 图1

SPN(Service Principal Name) - 图2

这里列出了域控中常见SPN,通过SPN遍历,不需端口扫描即可发现域内主机及服务。

  1. // 任意域机器上执行即可
  3. # 列出账户或机器相关的SPN
  4. setspn.exe -L win10-pc2
  5. setspn.exe -L ring2\win10
  7. # 列出所有SPN
  8. $search = New-Object DirectoryServices.DirectorySearcher([ADSI]"")
  10. $search.filter = "(servicePrincipalName=*)"
  12. $results = $search.Findall()
  14. foreach($result in $results){
  16.        $userEntry = $result.GetDirectoryEntry()
  18.        Write-host "Object Name = " $userEntry.name -backgroundcolor "yellow" -foregroundcolor "black"
  20.        Write-host "DN      =      "  $userEntry.distinguishedName
  22.        Write-host "Object Cat. = "  $userEntry.objectCategory
  24.        Write-host "servicePrincipalNames"
  26.        $i=1
  28.        foreach($SPN in $userEntry.servicePrincipalName)
  30.        {
  32.            Write-host "SPN(" $i ")   =      " $SPN       $i+=1
  34.        }
  36.        Write-host ""
  38. }

参考

【Windows域】Kerberoasting