Windows五次Shift漏洞

标签（空格分隔）： 网络攻防技术

实验原理

当我们使用计算机时，连续按下5次shift键会弹出一个程序。该程序名称为“sethc.exe”，其路径为“c:\windows\system32\sethc.exe”。

原理

该系统漏洞由于部分Win7及Win10在未进入系统时，可以通过连续按5次shift键弹出sethc.exe应用程序，然后再深入利用调出CMD窗口，通过指令对用户密码进行修改或删除，从而登录不知道密码的计算机。

其基本流程如下

（1）首先，在未登录系统时，连续按5次shift键，弹出程序“c:\windows\system32\sethc.exe”。
（2）其次，接着强制关机想办法进入“启动启动修复（推荐）”界面，该界面存在一个漏洞，它能打开一个本地的错误TXT文件。
（3）再次，通过TXT文件的打开选项，在未进入系统之前就打开C盘存放“sethc.exe”的位置，接着将cmd.exe程序复制一个副本，并命名为“sethc.exe”。
（4）最后，重启计算机再次按下5次Shift键时，会弹出CMD界面，再输入命令修改登录密码。连续按5次shift键它会去C盘目录下调用sethc.exe程序。
注意：部分Win7和Win10系统已经修补了该漏洞，所以系统版本更新和打补丁是我们防御非常重要的手段之一。

SAM文件存储着Windows的账号和密码，使用Hash算法加密，不可逆。处理方法是爆破处理，但需要花费时间的代价。

CMD中修改密码的常见命令

(1)CMD工具路径：c:\windows\system32\cmd
(2)用户账户密码存储位置：c:\windows\system32\config\SAM
(3)修改账户密码：net user 用户名 新密码
(4)创建一个新用户：net user 用户名 新密码 /add
(5)删除用户：net user 用户名 /del

利用Windows五次Shift漏洞进入Windows7操作系统桌面

步骤

申请实验环境后，快速进入控制台，然后在系统启动菜单中选择【启动启动修复（推荐）】菜单。
它会启动修复，并弹出如下图所示的对话框，提示【您想使用“系统还原”还原计算机吗？】点击【取消】，它会继续尝试修复。此时无法自动修复，等待一段时间后会弹出新的对话框，如下图所示，通常会点击【发送】或【不发送】。
需要注意的是，这里点击【查看问题详细信息】，漏洞就藏在这里。不需要理解它的具体含义，它是微软内部的问题报告
向下滑动滚动条，会看到两个超链接，一条是联机远程访问微软的，另一个是脱机访问本地的TXT文件，这里点击第二条。
打开这个文件，它的内容是什么并不关心，关心的是它有一个打开文件的按钮。通过该按钮，我们是不是能做点什么呢？即使在没有进入系统的状态。点击记事本菜单中的【文件】→【打开】。
在弹出的对话框中可以看到计算机图标。双击打开计算机，此时虽然没有进入系统，但能够看到磁盘分区，这里的D才是真实的C盘。由于还未进入系统，目前没有用户的概念，所以在这个状态下是以最高权限去进行运行的。接着打开【Windows】→【System32】文件夹。
将对话框中的文件类型选择为所有文件，然后在此目录中找到sethc文件。
将sethc名称修改为123，再按5次shift键，就不能再找到这个可执行文件了。然后找到cmd文件，注意该CMD文件也在该目录下，为什么要找到它呢？我们想做一个偷换，让连续按5次shift键调用CMD，再输入命令修改开机密码。接着重命名，修改为sethc，系统不会验证你内容是什么，只是根据程序名调用可执行程序。
b关闭此对话框，然后关闭记事本，关闭发送不发送的对话框，然后在【启动修复】的窗口中点击【取消】按钮，并在重启计算机窗口中点击【是】按钮。
这样计算机就会正常启动，等到系统启动并到登录界面
此时有两种利用方法
(1)当前系统中只有一个adra'toministrator用户，在登录页面已经看到，可以输入命令net user administrator “”，这条命令的作用是将administrator的密码置空，然后在不用输入密码的情况下直接点击登录按钮。可以直接进入到系统中。
(2)在cmd中输入命令net user test test /add创建用户。但test只是一个普通用户，接着需要将test用户提权，将它添加到管理员组中。调用命令13501。这样如果重新启动系统的话就会显示新增的用户了然后使用为test用户设置的密码也可进入系统。