Windows，Shift后门利用

很多朋友对Windows，Shift后门利用不是很了解，每日小编刚好整理了这方面的知识，今天就来带大家一探究竟。

0x00前言通常，内网渗透一台电脑后，你可以给这台电脑留一个移位后门。0x01 SHIFT后门在Windows系统下连续五次按SHIFT键可以启动系统的粘滞键功能，其进程称为Sethc.exe，其应用程序在Windowssystem32下。

黑客用其他应用程序取代Sethc.exe(如cmd.exe、explorer.exe、特洛伊木马和病毒)。当再次连续五次按下SHIFT键时，黑客的替换应用就会启动，这样就留下了五次SHIFT后门。黑客3389登录远程电脑时，在用户登录界面连续按下SHIFT五次即可启动漏洞，进而控制远程电脑。脆弱性原则

在Windows系统登录界面的状态下，连续按5次SHIFT键，粘滞键仍然可以运行，而此时应用程序会以WINDOWS的最高权限——系统权限运行，所以一旦电脑安装了后门，入侵者就可以悄悄远程控制电脑。漏洞利用的大致思路是：获得目标主机的权限后，进入Windowssystem32目录，将sethc.exe替换为cmd.exe；其中，命令行模式是：

copy c:window system32 cmd . exe c:window system32 sethc . execopy c:window system32 sethc . exe c:window system32 dlcachesethc . exe attrib c:window system32 dlcachesethc . exe hatrib c:window system32 dlcachesethc . exe h Hinweis:Um den Cache im Ordner dllcache zu entfernen，wird er automatisch wieder hergestellt . exe '/v调试器/t REG _ SZ/d ' C:windows system 32 cmd . exe '

命令描述：reg add是向注册表中添加一条记录，后跟注册表的位置。注意，HKLM是HKEY_LOCAL_MACHINE的缩写。图像文件执行选项用于设置图像劫持。会被劫持的是命令中的sethc sticky key程序，然后用/v指定键名，其中键名调试器是固定的，然后用/t指定REG_SZ字符串类型，最后用/d指定键值，也就是被恶意替换的程序cmd.exe。

这样，下次远程连接目标主机登录时，可以连续SHIFT次触发cmd.exe；可以输入explorer.exe调出节目管理系统，方便操作；当然，上述方法有一个缺陷，就是可能会导致远程连接不可持续，可以直接添加新用户方便下次直接登录：net用户mi1k7e a123456/add net本地组管理员mi1k7e/add '防御方法。

如果系统盘是NTFS文件系统，可以将sytem32下的sethc.exe文件设置为everyone拒绝访问；最好的办法是直接删除，在控制面板-辅助功能选项-粘滞键选项中取消“使用快捷键”。通过注册表设置实现防御；审核编辑：李倩

以上知识分享希望能够帮助到大家！