Windows粘滞键后门

原理:把sethc.exe粘滞键功能替换成cmd.exe的shell窗口,连续按5次shift键即可呼出cmd。

①粘滞键替换成cmd的基本应用

1、找到粘滞键应用所在的位置。

在C:/Windows/System32这个目录(系统进程的目录)下可找到粘滞键sethc这个应用程序(系统进程)。

2、备份要用到的文件

3、给要使用粘滞键的程序命名为sethc,但发现了这个问题

查看该文件的权限:

右键cmd属性打开发现Administrators这个组的成员根本没有对该文件的完全控制权限。

并且发现了只有TrustedInstaller这个系统管理员才有该完全控制权限:

4、修改文件所属者

是因为想修改文件名时提示我们需要管理员权限才可改名,那么现在将我们的权限给到管理员。(修改文件所属者)

(使用命令行的shell窗口修改)

5、复制sethc进程的文件,防止一下的操作出现问题

6、修改文件的访问控制列表(ACL)

出现这种情况的原因是:由于刚刚已经将权限给到管理员,但管理员的权限始终未变化,所以还是不能修改文件名称(提高)。

解决办法:

此时cmd和sethc都拥有了对相关文件的完全控制全:

修改文件名称成功:(使用copy命令会显示程序被占用,无法重命名操作)

7、测试

按五下shift键成功呼唤出cmd

此时假如该设备设置了这种粘滞键的话就可以通过调出cmd窗口(管理员状态)进行用户的创建,并将该用户归入到管理员组当中,就可以实现没有用户信息即可登入设备的操作——粘滞键后门

粘滞键后门:本质是把注销界面中可以调出的应用切换程cmd(windows-shell)

②放大镜后门(Magnify.exe)

1、备份文件

2、修改文件所属者(由系统用户组改为administrators)

文件目录这里全写绝对路径,但依据当前环境是可以些相对路径的。因为cmd所在目录为系统目录,我们操作的环境也在系统目录上。

3、修改文件的访问控制列表(权限)

以下为效果图:

4、覆盖文件

5、测试

③讲述人后门(Narrator.exe)

1、备份文件

2、修改文件所属者(由系统用户组改为administrators)

3、修改文件的访问控制列表(权限)

以下为效果图:

4、覆盖文件

5、测试

④补充:以脚本的方式实现