权限维持之shift后门

admin 2022年6月29日11:55:40安全文章评论11 views1485字阅读4分57秒阅读模式
✎ 阅读须知


乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。

乌鸦安全拥有对此文章的修改、删除和解释权限,如转载或传播此文章,需保证文章的完整性,未经允许,禁止转载!

本文所提供的工具仅用于学习,禁止用于其他,请在24小时内删除工具文件!!!


更新时间:2022.06.13

本文首发乌鸦安全知识星球

1. 原理

利用连按5下Shift漏洞破解win7开机密码。将c:windows/system32/sethc.exe替换为cmd.exe文件,达到新增用户、修改账号密码的的目的。
为了防止被发现,在这里不去修改原来的用户,通过mimikatz方式dump下来所有的NTLM值,并对其进行解密。当然,除了这个程序之外,还有以下多个程序的快捷方式:

屏幕键盘:C:WindowsSystem32osk.exe
放大镜:C:WindowsSystem32Magnify.exe
旁白:C:WindowsSystem32Narrator.exe
显示切换器 C:WindowsSystem32DisplaySwitch.exe
应用切换器:C:WindowsSystem32AtBroker.exe

2. 环境准备

实验主机:Windows7旗舰版 (无任何杀软)

3. shift后门复现

3.1测试是否存在粘滞键

在正常登录的Windows7用户桌面连续摁5次shift键,看是否有粘滞键提示弹出:

权限维持之shift后门

此时有弹出,证明其存在漏洞,然后将机器强制关机。

3.2 启动启动修复

在这里摁住option键,然后关机键就会变成断电键。

权限维持之shift后门

关机之后,再正常启动机器:

权限维持之shift后门

启动之后,再选择重新启动,就可以进入到启动启动修复模式:

权限维持之shift后门

3.3 替换sethc.exe为cmd

然后到这个界面,等待:

权限维持之shift后门

在这里选择查看问题详细信息:

权限维持之shift后门

在这里选择文件——打开:

权限维持之shift后门

找到路径:c盘->Windows->system32->sethc.exe文件

权限维持之shift后门

将该文件重新命名:

权限维持之shift后门

再找到该目录下的cmd.exe,将该文件复制后修改为sethc.exe

权限维持之shift后门

重启机器:

权限维持之shift后门

3.4 添加新用户

重启之后,使用5次shift键打开cmd窗口:

权限维持之shift后门

在这里如果直接修改test用户的密码,后面无法知道当前的密码,因此在这里添加一个新的用户进去,并将该用户添加到管理员组:

权限维持之shift后门

重启机器登录:

权限维持之shift后门

3.5 获取原用户密码

登录test2后之后,使用工具mimikatz工具将所有用户的密码dump下来:

权限维持之shift后门
privilege::debug   提取权限
sekurlsa::logonpasswords   抓取密码
权限维持之shift后门

当前使用,只能抓到test2的用户密码,在这里我们需要test用户的账号和密码信息 在这里使用命令lsadump::lsa /inject能够导出所有用户的hash值:

权限维持之shift后门

209c6174da490caeb422f3fa5a7ae634 通过解密可知当前密码为:admin

权限维持之shift后门

3.6 删除新增用户

此时将机器重启,利用test admin进行登录,再将当前的test2用户删除:

进入环境之后,发现是无法找到cmd程序的,因此在这里需要找到已经修改过的sethc.exe,将其复制为cmd.exe

权限维持之shift后门

此时即可通过cmd进行运行:

权限维持之shift后门

此时删除多余的用户即可:

权限维持之shift后门

4. 总结

本漏洞存在于Windows 2003xpwin7等。

tips:加我wx,拉你入群,一起学习


权限维持之shift后门


权限维持之shift后门

权限维持之shift后门
权限维持之shift后门

扫取二维码获取

更多精彩

乌鸦安全

权限维持之shift后门




原文始发于微信公众号(乌鸦安全):权限维持之shift后门

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月29日11:55:40
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  权限维持之shift后门 http://cn-sec.com/archives/1137640.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: