[ 应急响应进阶篇-1 ] Windows 创建后门并进行应急处置-5:Shift 粘贴键后门

已于 2025-03-31 19:50:55 修改
阅读量1.3k 收藏 30
点赞数 25
CC 4.0 BY-SA版权
分类专栏: [ 蓝队攻防 ] 应急响应入门到精通 文章标签: 应急响应基础 Windows 创建后门 shift 粘贴键后门详解 shift粘贴键后门创建实战 应急响应工具 shift 粘贴键后门应急响应 HVV
于 2024-11-19 20:38:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51577576/article/details/143894510

🍬 博主介绍

👨‍🎓 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~
✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限,欢迎各位大佬指点,相互学习进步!

[ 笔记文档下载地址:笔记比博客更全:笔记包含Linux和Windows后门 ]

文章目录

1.5 Windows后门应急-5:shift粘贴键后门

1.5.1 shift粘贴键后门介绍

1.5.1.1 简介

Shift粘贴键后门是一种在Windows操作系统中利用粘滞键(Sticky Keys)功能创建的后门,通过连续按5次Shift键触发。这种后门可以绕过系统的安全控制措施,允许攻击者在未登录的情况下执行命令或脚本。

1.5.1.2 原理

粘滞键是Windows系统中为方便无法同时按下多个键的用户而设计的辅助功能。当用户连续按5次Shift键时,会弹出粘滞键设置窗口。
攻击者可以通过修改注册表或使用其他方法,将粘滞键对应的程序(通常是sethc.exe)替换为其他可执行文件,如命令提示符(cmd.exe)或其他恶意程序。

1.5.1.3 实现步骤

确保目标系统上已启用粘滞键功能。
找到粘滞键的可执行文件(通常位于C:\Windows\System32\sethc.exe)。
将该文件替换为想要执行的命令或脚本。例如,可以将cmd.exe复制到该位置,并命名为sethc.exe。
测试后门是否成功。连续按5次Shift键,应能看到被替换的程序运行。

1.5.1.4 防御措施

定期检查系统文件和注册表项,确保它们未被篡改。
禁用不必要的辅助功能,如粘滞键,以减少潜在的安全风险。
使用杀毒软件和防火墙等安全工具,保护系统免受恶意软件的攻击。

1.5.1.5 应用场景

Shift粘贴键后门通常用于权限维持,即在攻击者已经获得系统访问权限后,通过设置后门来保持对系统的长期控制。
它也可以作为一种隐蔽的入侵手段,使攻击者能够在不引起系统管理员注意的情况下执行恶意操作。

1.5.2 shift粘贴键后门创建实战

1.5.2.1 shift粘贴键演示

粘滞键是电脑使用中的一种快捷键,一般连按五次 shift 会出现粘滞键提示,粘滞键是专为同时按下两个或多个键有困难的人而设计的, 粘滞键开启后,可以先按一个键位,再按另一键位,而不是同时按下两个键位,方便某些因身体原因而无法同时按下多键的人。
正常情况下我们连按五次 shift 键会弹出粘滞键

在这里插入图片描述

1.5.2.2 shift粘贴键演示执行文件位置

sethc.exe 就是 Windows 下的粘滞键,它的位置在

C:\Windows\System32\sethc.exe

在这里插入图片描述

1.5.2.3 sethc.exe映像劫持创建后门
1.5.2.3.1 简单介绍

映像劫持也被称为 IFEO(Image File Execution Options),在 WindowsNT 架构的系统里,IFEO 本是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境而设定的,但我们可以利用 Windows 的 IFEO 功能实现映像劫持。
这里我们通过映像劫持 sethc.exe ,以实现连按 5 次 shift 键调起 cmd.exe 命令行执行窗口。

1.5.2.3.2 实现步骤

Win+R 键入regedit 打开注册表

计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

在 Image File Execution Options 下新建项:sethc.exe
在这里插入图片描述
在 sethc.exe 下新建字符串值:名为 debugger
在这里插入图片描述
设置debugger值为 cmd.exe 的绝对路径:

C:\Windows\System32\cmd.exe

在这里插入图片描述

1.5.2.3.2 后门创建成功

确定后测试一下,连按 5 次 shift 键:
成功调起 cmd

在这里插入图片描述

Win+L 锁屏后测试一下:
尽管在没有密码,锁屏的情况下,依旧可以调起 cmd,并且是 system 权限
虚拟机连按5次 shift 键没调出来,后面用实体机拍的照

在这里插入图片描述

1.5.3 shift粘贴键后门应急实战

1.5.3.1 上传分析工具

上传蓝队工具 Autoruns 进行分析
参考文章及工具获取:

https://blog.csdn.net/qq_51577576/article/details/130119164

在这里插入图片描述

1.5.3.2 分析找到源头

查看发现多了两个镜像劫持,文件位置在注册表的HKEY_LOCAL_MACHINE\ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion\Image File ExecutionOption

HKEY_LOCAL_MACHINE\ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion\Image File ExecutionOption

在这里插入图片描述

右键跳转到注册表找到对呀选项进行查看,发现确实存在镜像劫持,植入了shift粘贴键后门

在这里插入图片描述

1.5.3.3 应急处置

删除sethc.exe即可,可以直接在注册表中删除。

在这里插入图片描述

1.5.3.4 应急处置成功

再次连按五次 shift 键会弹出粘滞键

在这里插入图片描述

相关资源

[ 笔记文档下载地址:笔记比博客更全:笔记包含Linux和Windows后门 ]
[ 应急响应进阶篇-1 ] Windows 创建后门并进行应急处置-1:windows后门账户
[ 应急响应进阶篇-1 ] Windows 创建后门并进行应急处置-2:计划任务后门
[ 应急响应进阶篇-1 ] Windows 创建后门并进行应急处置-3:windows服务后门
[ 应急响应进阶篇-1 ] Windows 创建后门并进行应急处置-4:启动项后门
[ 应急响应进阶篇-1 ] Windows 创建后门并进行应急处置-5:Shift 粘贴键后门

粘滞键后门漏洞Windows
2301_76737000的博客
01-07 727
我们在C:\WINDOWS\system32找到sethc.exe文件我们可以对这个文件进行修改。在通常Windows系统中连续按五次shift会出现一个粘滞键。我们可以在控制面板中找到用户账户可以管理创建用户或更改密码。我们可以通过他弹出的这个窗口做修改到达我们想要的效果。首先我们要创建靶机且在靶机中设置好用户名及密码。接下来将cmd复制重命名为sethc。接下来连续按五下shift键查看效果。将原本的sethc改名为sethc1。我们在登录账号看看能不能进入电脑。我们将密码隐藏了改成了ABC。
Windows近源攻击应急响应
qq_48904485的博客
07-09 873
小王从某安全大厂被优化掉后,来到了某私立小学当起了计算机老师。某一天上课的时候,发现鼠标在自己动弹,又发现除了某台电脑,其他电脑连不上网络。感觉肯定有学生捣乱,于是开启了应急1.攻击者的外网IP地址2.攻击者的内网跳板IP地址3.攻击者使用的限速软件的md5大写4.攻击者的后门md5大写5.攻击者留下的flagzgsf@2024。
超强隐藏Shift后门
11-13
服务器留后门的招。 1、国内的很多机器都是简体中文版,所以我们一般选择 运行安装中文版shift.bat 2、按5次以上shift键,待弹出窗口后 3、点击设置 4、再点击取消,出现小text框 5、输入密码 helloyun 6、再点击设置 7、点击开启任务管理器 看到什么了? 哈哈 成功了 退出3389 管理员根本无法发现这个后门 因为和按5次以上shift键 一样的画面 此后门无比强大。 如果是繁体的执行另外一个bat即可
Windows 权限维持之 Shift 后门
Welcome To Myon'Blog !
05-31 1015
正常情况下我们连按五次 shift 键会弹出粘滞键粘滞键是电脑使用中的一种快捷键,一般连按五次 shift 会出现粘滞键提示,粘滞键是专为同时按下两个或多个键有困难的人而设计的, 粘滞键开启后,可以先按一个键位,再按另一键位,而不是同时按下两个键位,方便某些因身体原因而无法同时按下多键的人。sethc.exe 就是 Windows 下的粘滞键,它的位置在 C:\Windows\System32\sethc.exe。
shift后门
mingyqf的博客
02-19 2133
参考:https://blog.csdn.net/qq_43626025/article/details/122031653 shift后门 替换C:\windows\system32\sethc.exe为你想要启动的后门程序,这里替换为我们用最常见的cmd.exe。 这里要注意下,默认情况下我们需要先改变sethc的所有者,然后修改用户权限不然的话没办法操作。 执行以下命令 Move C:\windows\system32\sethc.exeC:\windows\system32\sethc.exe.ba
windows shift backdoor(windows shift 后门)
正在成为 code ape
01-28 1万+
This backdoor allows you to run command prompt (cmd.exe) with system privilege from the Windows 7 login screen. So with a system privilege command prompt in your hands, you can actually do a lot of st...
Windows后门--教程(五)——shift粘贴键后门
W小哥
03-16 5580
一、shift粘贴键后门介绍 Shift粘滞键是当用户连按5shift就会自动弹出的一个程序,其实不光是粘滞键,还有各种辅助功能,这类辅助功能都拥有一个特点就是当用户未进行登录时也可以触发。所以攻击者很有可能通过篡改这些辅助功能的指向程序来达到权限维持的目的。 (辅助功能镜像劫持是一样的原理) 二、shift粘贴键后门-教程 前提条件: 假设在攻击的过程中通过利用各种getshell,已经拿到目标服务器administrator权限 靶机: windows Server2012 IP: 192.168.2
一次真实的应急响应案例(Windows2008)—暴力破解、留隐藏账户与shift粘贴键后门、植入WK程序-应急响应靶场
04-06
一次真实的应急响应案例(Windows2008)—暴力破解、留隐藏账户、shift粘贴键后门、植入wakuang程序——对应的应急响应靶场,应急响应教程参考链接:...
渗透测试模拟实战——暴力破解、留定时任务后门shift粘贴键后门、植入WaKuang程序(对应靶场和wakuang样本)
03-24
渗透测试模拟实战——暴力破解、留定时任务后门shift粘贴键后门、植入WaKuang程序(靶机系统:Windows2008)对应的靶场和wakuang样本,参考教程链接:...
一次真实的应急响应案例(Centos)——暴力破解、替换ps命令、留多个后门对应的应急响应靶场
03-10
暴力破解、替换ps命令、留多个houmen-应急响应靶场,应急响应教程:https://blog.csdn.net/weixin_40412037/article/details/123323981?spm=1001.2014.3001.5501
Shift后门(BAT版)
09-24
Shift后门(BAT版)附带BAT转EXE工具
五次SHIFT后门程序
05-15
五次SHIFT后门程序五次SHIFT后门程序五次SHIFT后门程序
shift后门简单密码版
08-08
五次打开shift后门 运行时首先检查是否在系统目录下 如果不在运行时没反应 但是你运行一次后就可以用5shift看看效果
一个Shift后门程序,可以让你可以进入你不知道密码的电脑
热门推荐
杨启盛的博客
08-01 2万+
1.前提 你可以在平时亲身接触状态电脑,哪怕是在电脑主人不在的时候(虽然主人不在,或者关机了,进入电脑是要密码的)。 2.原理 利用电脑连续按5Shift会触发粘滞键,它会运行c:\winows\system32\setchx.exe 3.Shift后门程序编写 将下面的内容保存成.bat后缀的文件,文件名你可以自己取,取的吸引人一点,他们就会点了,你懂的! 为了让别人不知道你这个程
Windows权限维持之shift后门(四)
最新发布
2303_78851087的博客
03-02 527
Windows权限维持之shift后门(四)
沾滞键shift后门
Jietewang的博客
02-05 2345
1. 简介 沾滞键的目的是为了帮助那些按键有困难的人设计的
windows权限维持之shift后门
weixin_51692662的博客
05-06 1042
windows权限维持之shift后门
Shift后门
Au
03-29 3228
shift快捷键 Windows的粘滞键------C:\windows\system32\sethc.exe,它本是为不方便按组合键的人设计的 Windows系统按5shift后,Windows就执行了system32下的sethc.exe,也就是启用了粘滞键 在进程里面我们可以看到这个程序被系统运行了 不过是以我们自己的用户运权限行的 但是当我们未登陆系统(停留在登陆界面)...
windows 7 5shift 后门 复现过程以及解决方案
sh45678的专栏
09-20 455
这里我们就可以任意输入命令 创建用户,等等,输入 explorer.exe 就可以绕开登陆界面直接登陆,但是实践下来,还是有点问题,点击开始,随便选择一个菜单 报错。这个可能和Windows 一些设置有关,还得在研究,但是 至少可以建用户,执行一些相关命令,给计算机留下了一些隐患。在注销登陆,登陆界面输入 5shift ,系统没有反应,不会在弹出这个对话框,需要你输入用户名和密码。登陆系统后,进入c:\windows\system32 目录,执行一下命令。登陆系统后你在去 这个目录下执行这个。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

寒蝉听雨[原ID_PowerShell]

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值