大家好,又见面了,我是你们的朋友全栈君。
一、shift粘滞键后门介绍shift粘滞键是一个当用户连续按5次shift键时就会自动弹出的程序。除了粘滞键外,还有其他辅助功能,这些功能的一个共同特点是即使用户未登录也可以触发。因此,攻击者可能通过篡改这些辅助功能的指向程序来实现权限维持的目的。(辅助功能镜像劫持的原理相同)
二、shift粘滞键后门-教程前提条件: 假设在攻击过程中通过各种getshell方法,已经获得了目标服务器的administrator权限。靶机:windows Server2012IP:192.168.226.128
2.1 创建shift粘滞键后门粘滞键的启动程序位于C盘的Windows/system32目录下的sethc.exe文件。我们需要打开注册表,定位到以下路径:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File ExecutionOption
在目录中新建一个名为sethc.exe的子项,并添加一个新键debugger,debugger的对应键值设置为后门木马的路径,这里我用cmd路径代替。cmd路径:C:Windowssystem32cmd.exe
2.2 验证shift粘滞键后门shift粘滞键后门创建完成后,在锁屏状态下连续按5次shift键,C:Windowssystem32cmd.exe文件将被运行,弹出命令行。
三、shift粘滞键后门——应急响应发现3.1 查看镜像劫持查看发现多了两个镜像劫持,文件位置在注册表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File ExecutionOption
双击sethc.exe文件就会进入注册表,查看注册表键值,确实被植入了shift粘滞键后门。
处置:1、删除sethc.exe
更多资源:
1、web安全工具、渗透测试工具2、存在漏洞的网站源码与代码审计+漏洞复现教程3、渗透测试学习视频、应急响应学习视频、代码审计学习视频,都是2019-2021年期间的较新视频4、应急响应真实案例复现靶场与应急响应教程
这些资源已收集整理在知识星球中,可加入知识星球进行查看。也可搜索关注微信公众号:W小哥
小门道AI
小门道AI是一个提供AI服务的网站
117 查看详情
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容,请发送邮件至举报,一经查实,本站将立刻删除。
发布者:全栈程序员栈长,转载请注明出处:https://www.php.cn/link/404e0793ba47ba6ec7b52aefe9ac9cfb原文链接:https://www.php.cn/link/c8377ad2a50fb65de28b11cfc628d75c
以上就是Windows留后门–教程(五)——shift粘贴键后门的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/449362.html
微信扫一扫 
支付宝扫一扫 
