文章总结： 文档介绍了一种单文件LNK绕过技术，通过将双文件简化为单文件结合远程服务器实现，但存在Win11系统因NTLM漏洞需SMB身份验证的限制。检测结果显示可部分绕过主流杀毒软件，同时提供红队工具手册和合规协议，强调仅限授权安全研究使用。 综合评分： 72 文章分类： 红队,内网渗透,漏洞分析,免杀,安全工具

[更新]单文件LNK绕过，但有限制

原创

陆安予 陆安予

白帽子安全笔记2.0

2026年5月2日 14:05 江苏

在小说阅读器读本章

去阅读

[更新]单文件LNK绕过，但有限制

4个月前，我无意发现了[0day]新挖掘到一套高级LNK快捷方式，现在它可以支持单文件， 但有条件限制，文末我录了个视频展示这一研究成果。

一、背景

上次发出之后，许多朋友问能否支持单文件，说多文件没有实战价值，我尝试将2文件进一步缩减为单文件，也尝试过LNK Icon Smuggling的建议，但该程序不支持。

在360下挖掘LNK漏洞非常困难，因为绝大部分进程被禁止。但万事不是绝对，上次将system32下的程序扒了个底朝天，同时参考了大量的APT资料，经过999次的失败，有一个新发现。

二、技术细节

我无法透露这一实现细节，毕竟公开进程等于双手奉上漏洞或被滥用。

在原有基础上新增单文件模式，勾选此选项代表只需单文件即可，因为另一个文件会放在远程服务器以供读取。

新版本

限制条件：

不支持Win11

由于NTML漏洞的影响，较新的Windows11-24H2会默认阻止不安全的SMB共享。这意味着，在Win11中如需使用远程UNC路径，必须开启带身份验证的SMB：

开启带身份验证的SMB共享

而开启身份验证后，需多一步认证的步骤：

在目标终端中连接共享

接下来可以运行lnk文件，:

而在Win10系统中，无需认证即可连接，这意味着Win10不受此限制。

未经身份验证的SMB共享

最后，我录了个视频展示这一研究成果： [视频]

已关注

关注

重播 分享 赞

关闭

观看更多

更多

退出全屏

切换到竖屏全屏退出全屏

白帽子安全笔记2.0已关注

分享视频

，时长00:09

0/0

00:00/00:09

切换到横屏模式

继续播放

[ ]

进度条，百分之0

播放

00:00

/

00:09

00:09

倍速

全屏

倍速播放中

0.5倍 0.75倍 1.0倍 1.5倍 2.0倍

超清 流畅

继续观看

[更新]单文件LNK绕过，但有限制

观看更多

转载

,

[更新]单文件LNK绕过，但有限制

白帽子安全笔记2.0已关注

分享点赞在看

已同步到看一看写下你的评论

视频详情

三、检测情况

2种不同的模式检测情况(2026年5月1)如下：

| AV | 2文件 | 单文件 | | — | — | — | | Defender | 绕过 | 绕过 | | 火绒 | 绕过 | 被检测 | | 360卫士 | 绕过 | 绕过 |

如果你对这些红队项目感兴趣或想了解更多信息，可查阅我的产品清单《2026年度红队战术攻防武器库产品手册》[1]及协议《合规协议》[2]。

网络安全 #红队训练

四、免责声明

本文涉及方案仅限合法授权的安全研究、渗透测试用途，使用者须确保符合《网络安全法》及相关法规。具体条款如下：

• • 仅可用于已获得书面授权的目标系统测试；
• • 遵守法律法规，不得用于侵犯他人隐私或数据窃取；

本人不承担因用户滥用本软件导致的任何后果。使用即视为同意并接受上述条款。

推荐阅读

• • [视频]4月-红队攻防-完全无法检测的Cobalt Strike
• • [更新]红队加载器LoaderV6.2
• • 高级LNK中的反沙箱技术
• • [重要更新]高级lnk快捷方式
• • 红队基础设施指南与高级匿名技术

引用链接

[1] 《2026年度红队战术攻防武器库产品手册》: https://www.kdocs.cn/l/coR1BuQkseWz [2] 《合规协议》: https://www.kdocs.cn/l/cqPic7iLh0hn

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：白帽子安全笔记2.0 陆安予 陆安予《[更新]单文件LNK绕过，但有限制》