Windows留后门--教程(五)——shift粘贴键后门

最新推荐文章于 2024-05-31 15:16:05 发布
最新推荐文章于 2024-05-31 15:16:05 发布
阅读量4.5k 收藏 17
点赞数 3
分类专栏: # 权限维持 文章标签: windows microsoft
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40412037/article/details/123524027
版权

一、shift粘贴键后门介绍

Shift粘滞键是当用户连按5次shift就会自动弹出的一个程序,其实不光是粘滞键,还有各种辅助功能,这类辅助功能都拥有一个特点就是当用户未进行登录时也可以触发。所以攻击者很有可能通过篡改这些辅助功能的指向程序来达到权限维持的目的。
(辅助功能镜像劫持是一样的原理)

二、shift粘贴键后门-教程

前提条件: 假设在攻击的过程中通过利用各种getshell,已经拿到目标服务器administrator权限
靶机: windows Server2012
IP: 192.168.226.128

2.1 创建shift粘贴键后门

粘滞键的启动程序在C盘的Windows/system32目录下为sethc.exe。所以我们打开注册表,定位到以下路径:
HKEY_LOCAL_MACHINE\ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image File ExecutionOption
在这里插入图片描述
在目录中新建一个sethc.exe的子项,并添加一个新键debugger,debugger的对应键值为后门木马的路径,这里我用cmd路径代替一下。
cmd路径:C:\Windows\system32\cmd.exe
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

2.2 验证shift粘贴键后门

shift粘贴键后门创建完成之后,在锁屏状态下连按次shift粘贴键,C:\Windows\system32\cmd.exe文件运行,弹出命令行。
在这里插入图片描述

三、shift粘贴键后门——应急响应发现

3.1 查看镜像劫持

查看发现多了两个镜像劫持,文件位置在注册表的HKEY_LOCAL_MACHINE\ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image File ExecutionOption
在这里插入图片描述
双击sethc.exe文件就会进入注册表,查看注册表键值,确实被植入了shift粘贴键后门
在这里插入图片描述

处置:
1、删除sethc.exe

更多资源:

1、web安全工具、渗透测试工具
2、存在漏洞的网站源码与代码审计+漏洞复现教程、
3、渗透测试学习视频、应急响应学习视频、代码审计学习视频、都是2019-2021年期间的较新视频
4、应急响应真实案例复现靶场与应急响应教程

收集整理在知识星球,可加入知识星球进行查看。也可搜索关注微信公众号:W小哥
在这里插入图片描述

W小哥1
关注
专栏目录
一个Shift后门程序,可以让你可以进入你不知道密码的电脑
杨启盛的博客
08-01 2万+
1.前提 你可以在平时亲身接触状态电脑,哪怕是在电脑主人不在的时候(虽然主人不在,或者关机了,进入电脑是要密码的)。 2.原理 利用电脑连续按5次Shift会触发粘滞,它会运行c:\winows\system32\setchx.exe 3.Shift后门程序编写 将下面的内容保存成.bat后缀的文件,文件名你可以自己取,取的吸引人一点,他们就会点了,你懂的! 为了让别人不知道你这个程
超强隐藏Shift后门
11-13
服务器后门的招。 1、国内的很多机器都是简体文版,所以我们一般选择 运行安装文版shift.bat 2、按5次以上shift,待弹出窗口后 3、点击设置 4、再点击取消,出现小text框 5、输入密码 helloyun 6、再点击设置 7、点击开启任务管理器 看到什么了? 哈哈 成功了 退出3389 管理员根本无法发现这个后门 因为和按5次以上shift 一样的画面 此后门无比强大。 如果是繁体的执行另外一个bat即可
沾滞shift后门
Jietewang的博客
02-05 2026
1. 简介 沾滞的目的是为了帮助那些按有困难的人设计的
shift后门
mingyqf的博客
02-19 1958
参考:https://blog.csdn.net/qq_43626025/article/details/122031653 shift后门 替换C:\windows\system32\sethc.exe为你想要启动的后门程序,这里替换为我们用最常见的cmd.exe。 这里要注意下,默认情况下我们需要先改变sethc的所有者,然后修改用户权限不然的话没办法操作。 执行以下命令 Move C:\windows\system32\sethc.exeC:\windows\system32\sethc.exe.ba
Windows 权限维持之 Shift 后门
最新发布
Welcome To Myon'Blog !
05-31 726
正常情况下我们连按shift 会弹出粘滞粘滞是电脑使用的一种快捷,一般连按shift 会出现粘滞提示,粘滞是专为同时按下两个或多个有困难的人而设计的, 粘滞开启后,可以先按一个位,再按另一位,而不是同时按下两个位,方便某些因身体原因而无法同时按下多的人。sethc.exe 就是 Windows 下的粘滞,它的位置在 C:\Windows\System32\sethc.exe。
5次Shift粘滞后门的应用
weixin_30333885的博客
08-07 504
这篇文章里说的方法和欠钱前2天说的用explorer.exe替换sethc.exe然后在3389下用5次shift获得资源管理器的方法差不多,不过做了一些扩展,蛮有意思~   在windows 2000/xp/vista下,按shift5次,可以打开粘置,会运行sethc.exe,而且,在登录界面里也可以打开。这就让人联想到WINDOWS的屏保,将程序替换成cmd.exe后,就可以...
一次真实的应急响应案例(Windows2008)—暴力破解、隐藏账户与shift粘贴后门、植入WK程序-应急响应靶场
04-06
一次真实的应急响应案例(Windows2008)—暴力破解、隐藏账户、shift粘贴后门、植入wakuang程序——对应的应急响应靶场,应急响应教程参考链接:...
渗透测试模拟实战——暴力破解、定时任务后门shift粘贴后门、植入WaKuang程序(对应靶场和wakuang样本)
03-24
渗透测试模拟实战——暴力破解、定时任务后门shift粘贴后门、植入WaKuang程序(靶机系统:Windows2008)对应的靶场和wakuang样本,参考教程链接:...
一次真实的应急响应案例(Centos)——暴力破解、替换ps命令、多个后门对应的应急响应靶场
03-10
暴力破解、替换ps命令、多个houmen-应急响应靶场,应急响应教程:https://blog.csdn.net/weixin_40412037/article/details/123323981?spm=1001.2014.3001.5501
粘滞后门详述
发哥微课堂
03-07 8751
0x00:介绍 首先介绍一下粘滞粘滞很多人都知道,windows 系统下连续按 5 次 shift 可调出其程序,但使用可能有一部分人不太了解,毕竟这个功能一般我们都用不到,粘滞是为了那些按钮有困难的人设计的,也可理解为残疾,就是按困难,一次只能按一个的这种需求,那么如果用 ctrl+c,ctrl+v 这种快捷或者其他需要组合的时,就会有困难,不具备一次按两个或多个的能力,那么...
SHIFT后门程序
05-15
SHIFT后门程序SHIFT后门程序SHIFT后门程序
Shift后门(BAT版)
09-24
Shift后门(BAT版)附带BAT转EXE工具
粘滞后门-自动创建-批处理版(axun)
11-25
很古老的漏洞了,这个太简单了,没什么好描述的,不知道粘滞后门的自己上网查查
内网权限维持 —— 后门
战神/calmness的博客
12-09 1184
目录 操作系统后门 粘滞 注册表注入 计划任务 meterpreter Cymothoa WMI型 web 后门 Nishang 下的webshell weevely webacoo ASPX meterpreter PHP meterpreter 域控制器权限持久化 DSRM 域后门 SSP 维持域控权限 SID History 域后门 Golden Ticket Silver Ticket Skeleton Key Hook PasswordChangeNot
windows shift backdoor(windows shift 后门)
热门推荐
正在成为 code ape
01-28 1万+
This backdoor allows you to run command prompt (cmd.exe) with system privilege from the Windows 7 login screen. So with a system privilege command prompt in your hands, you can actually do a lot of st...
windows图形化界)粘滞后门
m0_60936698的博客
03-02 529
windows图形化界)粘滞后门 思路:windows图形化界面未登入用户时,连按5次Shift粘滞的程序依然可以弹出,若若把粘滞的程序改为其他程序则有不一样的效果(如cmd程序)。 一、手动直接修改文件名 ①在windows C:\Windows\System32下找到sethc.exe(辅助功能快捷),发现无法直接修改文件名且提示《您需要TrustedInstaller提供的权限才能对此文件进行更改》,没有权限,权限属于另一个用户组。 ②在管理员权限下修改se.
Shift后门
Au
03-29 2737
shift快捷 Windows粘滞------C:\windows\system32\sethc.exe,它本是为不方便按组合的人设计的 Windows系统按5下shift后,Windows就执行了system32下的sethc.exe,也就是启用了粘滞 在进程里面我们可以看到这个程序被系统运行了 不过是以我们自己的用户运权限行的 但是当我们未登陆系统(停在登陆界面)...
shift粘滞后门创建/复原批处理
dcx3291777的博客
11-10 281
创建shift粘滞后门: 1 c: 2 3 cd \Windows\System32\ 4 5 rename sethc.exe bak_sethc.exe 6 7 xcopy cmd.exe sethc.exe 8 9 exit 恢复原状态: c: cd \Windows\System32\ del sethc.exe ...
各式各样的shift后门
weixin_34122810的博客
11-27 1457
经常会看到一些服务器被入侵后,入侵者会下一些各式各样的shift后门花八门的,各位网络管理员也看看自己的服务器的setch.exe是否被人替换了。 这个直接5次shift后进入分区 这个比较巧妙了,正常的最后那个按钮是灰色的,前两个是不可点击的,这个恰恰想法,点击后,会弹出一个cmd窗口。 这个是比较常见的需要输...
exe-dat后门添加器
08-08
exe-dat后门添加器是一种恶意软件工具,用于在Windows操作系统植入后门。它会修改PE(可执行文件)的数据节,将恶意代码嵌入到程序。通常情况下,该软件利用已经被感染的电脑上的可执行文件,并将恶意代码植入到这些文件。 exe-dat后门添加器可以通过多种形式传播,例如电子邮件附件、下载的文件、软件应用程序等。一旦用户下载或打开了一个感染的文件,该软件就会开始运行,并将自身隐藏在系统的某个位置,以避免被检测和删除。 一旦安装成功,exe-dat后门添加器将打开一个后门,允许黑客远程控制受感染的计算机。黑客可以利用后门添加器访问和控制计算机上的文件、截取盘输入、监听网络通信等。此外,黑客还可以将计算机加入到一个僵尸网络,用于发动分布式拒绝服务(DDoS)攻击、发送垃圾邮件等非法活动。 为了保护自己的计算机免受exe-dat后门添加器的攻击,我们应该时刻保持系统和软件的更新,并安装可信赖的安全软件来防止恶意软件的感染。此外,我们还应该谨慎下载和打开来自不信任来源的文件,尽量避免点击可疑的链接或打开未知的电子邮件附件。如果怀疑自己的计算机已经感染了exe-dat后门添加器,应立即进行杀毒软件扫描,并及时更新所有的账户和密码。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

W小哥1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值