Windows留后门–教程（五）——shift粘贴键后门

大家好，又见面了，我是你们的朋友全栈君。

一、shift粘滞键后门介绍 shift粘滞键是一个当用户连续按5次shift键时就会自动弹出的程序。除了粘滞键外，还有其他辅助功能，这些功能的一个共同特点是即使用户未登录也可以触发。因此，攻击者可能通过篡改这些辅助功能的指向程序来实现权限维持的目的。（辅助功能镜像劫持的原理相同）

二、shift粘滞键后门-教程 前提条件: 假设在攻击过程中通过各种getshell方法，已经获得了目标服务器的administrator权限。 靶机：windows Server2012 IP：192.168.226.128

2.1 创建shift粘滞键后门 粘滞键的启动程序位于C盘的Windows/system32目录下的sethc.exe文件。我们需要打开注册表，定位到以下路径： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File ExecutionOption

在目录中新建一个名为sethc.exe的子项，并添加一个新键debugger，debugger的对应键值设置为后门木马的路径，这里我用cmd路径代替。 cmd路径：C:\Windows\system32\cmd.exe

2.2 验证shift粘滞键后门 shift粘滞键后门创建完成后，在锁屏状态下连续按5次shift键，C:\Windows\system32\cmd.exe文件将被运行，弹出命令行。

三、shift粘滞键后门——应急响应发现 3.1 查看镜像劫持 查看发现多了两个镜像劫持，文件位置在注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File ExecutionOption

双击sethc.exe文件就会进入注册表，查看注册表键值，确实被植入了shift粘滞键后门。

处置： 1、删除sethc.exe

更多资源：

1、web安全工具、渗透测试工具 2、存在漏洞的网站源码与代码审计+漏洞复现教程 3、渗透测试学习视频、应急响应学习视频、代码审计学习视频，都是2019-2021年期间的较新视频 4、应急响应真实案例复现靶场与应急响应教程

这些资源已收集整理在知识星球中，可加入知识星球进行查看。也可搜索关注微信公众号：W小哥

版权声明：本文内容由互联网用户自发贡献，该文观点仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容，请发送邮件至举报，一经查实，本站将立刻删除。

发布者：全栈程序员栈长，转载请注明出处：https://www.php.cn/link/404e0793ba47ba6ec7b52aefe9ac9cfb 原文链接：https://www.php.cn/link/c8377ad2a50fb65de28b11cfc628d75c

以上就是Windows留后门–教程（五）——shift粘贴键后门的详细内容，更多请关注php中文网其它相关文章！