Windows粘滞键后门
原理:把sethc.exe粘滞键功能替换成cmd.exe的shell窗口,连续按5次shift键即可呼出cmd。
①粘滞键替换成cmd的基本应用
1、找到粘滞键应用所在的位置。
在C:/Windows/System32这个目录(系统进程的目录)下可找到粘滞键sethc这个应用程序(系统进程)。
2、备份要用到的文件
3、给要使用粘滞键的程序命名为sethc,但发现了这个问题
查看该文件的权限:
右键cmd属性打开发现Administrators这个组的成员根本没有对该文件的完全控制权限。
并且发现了只有TrustedInstaller这个系统管理员才有该完全控制权限:
4、修改文件所属者
是因为想修改文件名时提示我们需要管理员权限才可改名,那么现在将我们的权限给到管理员。(修改文件所属者)
(使用命令行的shell窗口修改)
5、复制sethc进程的文件,防止一下的操作出现问题
6、修改文件的访问控制列表(ACL)
出现这种情况的原因是:由于刚刚已经将权限给到管理员,但管理员的权限始终未变化,所以还是不能修改文件名称(提高)。
解决办法:
此时cmd和sethc都拥有了对相关文件的完全控制全:
修改文件名称成功:(使用copy命令会显示程序被占用,无法重命名操作)
7、测试
按五下shift键成功呼唤出cmd
此时假如该设备设置了这种粘滞键的话就可以通过调出cmd窗口(管理员状态)进行用户的创建,并将该用户归入到管理员组当中,就可以实现没有用户信息即可登入设备的操作——粘滞键后门
粘滞键后门:本质是把注销界面中可以调出的应用切换程cmd(windows-shell)
②放大镜后门(Magnify.exe)
1、备份文件
2、修改文件所属者(由系统用户组改为administrators)
文件目录这里全写绝对路径,但依据当前环境是可以些相对路径的。因为cmd所在目录为系统目录,我们操作的环境也在系统目录上。
3、修改文件的访问控制列表(权限)
以下为效果图:
4、覆盖文件
5、测试
③讲述人后门(Narrator.exe)
1、备份文件
2、修改文件所属者(由系统用户组改为administrators)
3、修改文件的访问控制列表(权限)
以下为效果图:
4、覆盖文件
5、测试
④补充:以脚本的方式实现
