SPN扫描利用

一、利用环境：

在内网渗透的信息收集中，机器服务探测一般都是通过端口扫描去做的，但是有些环境不允许这些操作。通过利用 SPN 扫描可快速定位开启了关键服务的机器，这样就不需要去扫对应服务的端口，有效规避端口扫描动作。

二、SPN介绍:

服务主体名称（SPN: Service Principal Names）是服务实例，可以将其理解为一个服务（比如 HTTP、MSSQL）的唯一标识符，服务在加入域中时是自动注册的。

如果在整个林或域中的计算机上安装多个服务实例，则每个实例都必须具有自己的 SPN。如果客户端可能使用多个名称进行身份验证，则给定服务实例可以具有多个 SPN。SPN 始终包含运行服务实例的主机的名称，因此服务实例可以为其主机名称或别名注册 SPN。

如果用一句话来说明的话就是如果想使用 Kerberos 协议来认证服务，那么必须正确配置 SPN。

注册在域内机器账户（Computers）上
注册在域内用户账户（Users）下

三、SPN 标准格式

在 SPN 语法中存在 4 种元素，两个必须元素和两个格外元素。其中 <service class> 和 <host> 为必需元素。

<service class>/<host>:<port> <servername>
服务类型/对应机器名:服务端口[默认端口可不写]
MSSQLSvc/SQLServer.baidu.com:1433

四、使用 SetSPN 为机器(域用户)创建 SPN

Setspn -S http/<computername>.<domainname> <domain-user-account>

-S 参数：验证不存在重复项后，添加随意 SPN。注意： -S 从 Windows Server 2008 开始系统默认提供。

setspn -T baidu.com -Q */* | findstr "MSSQLSvc"

五、原理说明

在 SPN 扫描时我们可以直接通过脚本，或者命令去获悉内网已经注册的 SPN 内容，LDAP 协议全称是 Lightweight Directory Access Protocol，一般翻译都是翻译成 轻量目录访问协议。通俗点可以把 LDAP 协议理解为一个关系型数据库，其中存储了域内主机的各种配置信息。
在域控中默认安装有 ADSI 编辑器，它是 LDAP 的编辑器，可以通过在域控中运行 adsiedit.msc 来打开。
我们的 SPN 查询，实际上就是就是查询 LDAP 中存储的内容。