黄金城官网实验室 | 内网渗透—SPN与Kerberoast攻击-





首页 产品与服务 解决方案 客户案例 技术支持 合作发展 关于黄金城 用户退出 合作商登录 用户登录 申请试用

数据黄金城官网


数据库保险箱数据黄金城官网分类分级平台数据黄金城官网综合评估系统新一代数据黄金城官网一体化平台
存储域
数据库加密诺亚防勒索
访问域
数据库防水坝数据库防火墙数据库黄金城官网审计动态脱敏
流动域
静态脱敏数据水印 API审计 API防控医疗防统方
运行黄金城官网


新一代灾备一体化平台灾备一键通数据库运行黄金城官网管理平台
数据流动


数据流动平台静态脱敏数据水印
黄金城官网运维服务



运维服务
数据库运维服务中间件运维服务国产信创改造服务驻场运维服务供数服务
黄金城官网咨询服务
数据出境黄金城官网治理服务数据黄金城官网能力评估认证服务数据黄金城官网风险评估服务数据黄金城官网治理咨询服务数据分类分级咨询服务个人信息风险评估服务数据黄金城官网检查服务

行业解决方案政府解决方案金融解决方案医疗解决方案教育解决方案能源解决方案物流交通解决方案

售后服务文档中心年度培训

渠道政策申请成为合作伙伴渠道专区

公司动态行业资讯黄金城官网研究

热门阅读

报告发布 |《全球数据泄露态势月度报告》（2026年3月）

2026-04-28

国家黄金城官网专题 |一图读懂《网络数据黄金城官网管理条例》

2026-04-22

上海市密码管理局发布《重要网络和信息系统密评工作指南2026版》

2026-04-20

4·15国家黄金城官网教育日｜以《数据黄金城官网法》为纲，筑牢数字时代黄金城官网屏障

2026-04-14

医疗机构注意！五部门联发新规：商用密码、分类分级成为数据保护关键词

2026-04-09

相关文章

每周黄金城官网速递??? | 密西西比大学医学中心在遭受勒索软件攻击后恢复正常运营

2026-03-09

每周黄金城官网速递??? | LockBit5.0版本支持Windows、Linux与ESXi平台

2026-03-09

每周黄金城官网速递??? | Osiris勒索软件利用BYOVD技术禁用黄金城官网工具

2026-02-02

每周黄金城官网速递??? | DeadLock勒索软件团伙利用Polygon智能合约存储代理服务器地址

2026-01-19

每周黄金城官网速递??? | 勒索软件攻击导致心理健康机构超11万人数据泄露

2026-01-06

黄金城官网实验室 | 内网渗透—SPN与Kerberoast攻击

发布时间：2020-12-10 阅读次数： 424 次

相信大家通过对前几篇的内网渗透文章的阅读已经具备一定的渗透经验了，那么本期黄金城黄金城官网实验室将给大家带来关于内网渗透的进阶技巧，SPN与Kerberoast攻击，话不多说直接开始。

01、什么是SPN

相信大家可能对SPN这个概念有些�：�，在开始之前我们先来简单了解一下什么是SPN？

SPN(ServicePrincipal Names)又名服务主体名称，是服务实例的唯一标识符，所谓的服务实例就类似于HTTP、SMB、MySQL等服务。说到这可能有些同学还是不清楚，SPN跟我们要讲的Kerberoast攻击到底有什么关系，别急，他们之间确实存在关系。

说到Kerberos认证，我们在前几期文章中也详细分析过了，是内网中常见的一种认证手段。Kerberos认证过程需要使用SPN将服务实例与服务登录账户相关联，也就是说如果想使用 Kerberos 协议来认证服务，那么必须正确配置SPN。

SPN分为两种类型：

一种是注册在活动目录的机器账户(Computers)下，当一个服务的权限为 Local System 或 Network Service，则SPN注册在机器账户(Computers)下。

一种是注册在活动目录的域用户账户(Users)下，当一个服务的权限为一个域用户，则SPN注册在域用户账户(Users)下。

02、什么是Kerberoast攻击

简单直白的说，Kerberoast攻击就是攻击者为了获取目标服务的访问权限，而设法破解Kerberos服务票据并重写它们的过程。这是红队当中非常常见的一种攻击手法，因为它不需要与服务目标服务进行任何交互，并且可以使用合法的活动目录访问来请求和导出可以离线破解的服务票据，以获取到最终的明文密码。

之所以出现这种情况，是因为服务票据使用服务账户的散列（NTLM）进行加密，所以任何域用户都可以从服务转储散列，而无需将shell引入运行该服务的系统中。攻击者通常会选择那些可能设置了弱密码，破解成功率较高的票据来尝试破解。一旦攻击者成功破解出了票据，他们有时不仅仅获取的只是服务访问权限，如果服务被配置为在高权限下运行，那么整个域都将可能被攻击者拿下。

一般来说Kerberoast攻击涉及以下几个步骤：

SPN发现

请求服务票据

导出服务票据

破解服务票据

接下来我们进行一次模拟实验，依次完成以上步骤。

03、Kerberoast攻击实验

网络环境：

内网目标机：192.168.210.102（Win10 处于HZMC域下）

内网域控机：192.168.210.38（Win Server 2012）

攻击机：192.168.20.35

开始攻击：

1. SPN发现

攻击者在内网目标机上执行以下命令即可检索用户账户和服务之间的映射。利用SetSPN文件（Windows本地的二进制文件）还可以添加、删除SPN注册。

Setspn -T <域名> -Q */*

2. 请求服务票据

攻击者在内网目标机上利用PoweShell脚本来实现特定的SPN请求服务票据，执行以下命令即可。其中<服务名称>指的是第一步中所列出的SPN服务，例如我们使用kadmin/changepw来作为测试，那么我们在最后需要加上kadmin/changepw即可。

Add-Type -AssemblyName System.IdentityModel

New-ObjectSystem.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "<服务名称>"

3. 导出服务票据

攻击者在请求完对应的服务票据后，可以利用Mimikatz来将票据进行导出，除了Mimikatz外还有一些其他的工具也可以实现这个目的，例如PowerShell、Empire等，如果是要使用Mimikatz的话需要执行以下命令即可。

mimikatz # kerberos::list /export

可以看到我们所需要的票据kadmin/changepw已经被成功导出。

4. 爆破服务票据

接下来攻击者为了避免爆破动静太大会引起防守人员警觉，可以将刚刚导出的票据复制到攻击机上，执行爆破。所依赖的爆破脚本可以采用一个开源的脚本来实现：

https://github.com/nidem/kerberoast

执行该脚本目录下的tgsrepcrack.py在构造一份用来爆破的密码字典，执行爆破即可。可以看到如果成功破解了kerberos票据会把域账户的明文密码显示出来。

上一条：黄金城黄金城官网实验室发布-11月勒索病毒威胁报告
下一条：老柳谈黄金城官网 | 零信任架构2.0的进化：以加密重构新边界（3A加密）

返回

快速入口

免费试用售后服务客户案例文档中心年度培训
热门产品

新一代灾备一体化平台数据流动平台数据库运行黄金城官网管理平台新一代数据黄金城官网一体化平台数据黄金城官网治理咨询服务数据分类分级咨询服务
解决方案

政府解决方案金融解决方案医疗解决方案教育解决方案能源解决方案物流交通解决方案
合作发展

渠道政策合作申请渠道专区
关于黄金城

关于我们大事记最新动态加入我们联系我们

关注或联系黄金城

官方订阅号

官方服务号

第59号

服务热线：400-811-3777

商务合作：marketing@mchz.com.cn

友情链接中央网信办公安部工信部 CNCERT 中国信通院中国软件测评中心国家工业信息黄金城官网发展研究中心赛迪研究院

Copyright ? 2024 杭州黄金城科技股份有限公司 All rights reserved.

浙公网安备 33010502006954号浙ICP备12021012号-1 网站地图网站声明及隐私保护政策

免费试用

服务热线

马上咨询

400-811-3777



【网站地图】【sitemap】