你需要知道的一些东西:
1.粘滞键位置:c:\windows\system32\stthc.exe
2.cmd路径:c:\windows\system32\cmd
3.用户密码储存位置:c:\windows\system32\config\SAM
4.修改用户密码的命令:net user 用户名 密码
本次实验环境
实验原理
这是一次关于提权的尝试。shift粘滞键漏洞是windows系统一个经典的漏洞,不过据说,最新版的win7和win10都对这个漏洞进行了修补,是真是假,咱也不敢说,咱也不敢问,可以自行验证一下哈。
本次实验,选择win7虚拟机进行,也算是对自己学习的这个漏洞的思路的一个记载,方便开拓一种提权思路。前提是,粘滞键处于开启状态哦,即在登录用户页面摁5次shift键,出现下图这么个东东。(其实思路是比较简单的,就是在开机界面通过一些技巧,将粘滞键这个应用名掉包,以cmd这个应用替换掉sethc(即粘滞键),从而在登录界面以system身份打开cmd完成一次提权)
过程(还是蛮轻松的呢)
预准备:我们来给该系统设置一个开机密码(若已有密码,则可跳过此步骤)
设置了一个反正我记不住的密码。接下来,我们假装忘记密码(其实是真忘了),就开始我们的破解大任吧。(一般来说,win7试个一两次就可以出现这个漏洞)
这次真的正式开始了:
1.将系统关机重启(这里比较推荐强制关机,这样会更容易出现下图界面):
2.进入启动启动修复,让他修呗(反正他也找不到问题)
哦豁,,果然没有修复,那么点取消(不可能傻到点还原的吧),继续调戏系统。他还是会很卖力的帮你尝试修复,但终究徒劳不是。等着它,死等。哦豁,,果然没有修复,那么点取消(不可能傻到点还原的吧),继续调戏系统。他还是会很卖力的帮你尝试修复,但终究徒劳不是。等着它,死等。
一段时间过后,出现了曙光:点击查看问题详细信息
点开之后下滑,有两个链接,第一个是微软官方文档,已经错误代码,当然没兴趣读,第二个,就是可以打开本地的一个记事本啦。
记事本里的废话我们当然不关心,咱们点文件>打开
盘符名称可能不一样哈,,只要自己打开看看哪个有windows目录,哪一个就是(实际意义上的c盘)。
之后,在window目录下,找到system32打开进入,发现满满的文件夹,点击文件类型,选择所有文件。将会看到所有程序
找到sethc,这就是粘滞键的程序,我们为了让cmd顶替它,需要先把sethc的名字改掉,改什么看自己心情。(我改成了个abc哈)
之后我们去找cmd,找到后,右击,复制,并在空白处粘贴!
出现一个cmd-副本,对准副本文件,右键,重命名,改为sethc(不要改错名字哈,改错就要重新再来了哦)
好一招狸猫换太子,偷天换日,瞒天过海,偷梁换柱。。。。。。
之后,一路关闭,,点完成,让它关机,你再把它重启。
在登录界面,摁五次shift键,猜猜出现了什么
没错,,就是传奇的cmd,,同时,你可以很happy的发现,你的身份是system,这可是至高无上的权限哦。
net user一下,看看咱们的用户有啥。我这上面刚刚设密码的时MHY这个账户,所以,改它。(错误可忽略)
我决定,不设密码。。(“”代表没有密码哦。)回车,命令执行成果,至高无上的权柄果然强
之后直接登录呗就,,登陆成功。。本次实验成功。。。庆祝一下吧。
1263
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
