[ 应急响应进阶篇-1 ] Windows 创建后门并进行应急处置-6:Shift 粘贴键后门
🍬 博主介绍
👨🎓 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~
✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限,欢迎各位大佬指点,相互学习进步!
文章目录
- 🍬 博主介绍
- 1.6.1 shift粘贴键后门介绍
- 1.6.1.1 简介
- 1.6.1.2 原理
- 1.6.1.3 实现步骤
- 1.6.1.4 防御措施
- 1.6.1.5 应用场景
- 1.6.2 shift粘贴键后门创建实战
- 1.6.2.1 shift粘贴键演示
- 1.6.2.2 shift粘贴键演示执行文件位置
- 1.6.2.3 sethc.exe映像劫持创建后门
- 1.6.2.3.1 简单介绍
- 1.6.2.3.2 实现步骤
- 1.6.2.3.2 后门创建成功
- 1.6.3 shift粘贴键后门应急实战
- 1.6.3.1 上传分析工具
- 1.6.3.2 分析找到源头
- 1.6.3.3 应急处置
- 1.6.3.4 应急处置成功
1.6.1 shift粘贴键后门介绍
1.6.1.1 简介
Shift粘贴键后门是一种在Windows操作系统中利用粘滞键(Sticky Keys)功能创建的后门,通过连续按5次Shift键触发。这种后门可以绕过系统的安全控制措施,允许攻击者在未登录的情况下执行命令或脚本。
1.6.1.2 原理
粘滞键是Windows系统中为方便无法同时按下多个键的用户而设计的辅助功能。当用户连续按5次Shift键时,会弹出粘滞键设置窗口。
攻击者可以通过修改注册表或使用其他方法,将粘滞键对应的程序(通常是sethc.exe)替换为其他可执行文件,如命令提示符(cmd.exe)或其他恶意程序。
1.6.1.3 实现步骤
确保目标系统上已启用粘滞键功能。
找到粘滞键的可执行文件(通常位于C:\Windows\System32\sethc.exe)。
将该文件替换为想要执行的命令或脚本。例如,可以将cmd.exe复制到该位置,并命名为sethc.exe。
测试后门是否成功。连续按5次Shift键,应能看到被替换的程序运行。
1.6.1.4 防御措施
定期检查系统文件和注册表项,确保它们未被篡改。
禁用不必要的辅助功能,如粘滞键,以减少潜在的安全风险。
使用杀毒软件和防火墙等安全工具,保护系统免受恶意软件的攻击。
1.6.1.5 应用场景
Shift粘贴键后门通常用于权限维持,即在攻击者已经获得系统访问权限后,通过设置后门来保持对系统的长期控制。
它也可以作为一种隐蔽的入侵手段,使攻击者能够在不引起系统管理员注意的情况下执行恶意操作。
1.6.2 shift粘贴键后门创建实战
1.6.2.1 shift粘贴键演示
粘滞键是电脑使用中的一种快捷键,一般连按五次 shift 会出现粘滞键提示,粘滞键是专为同时按下两个或多个键有困难的人而设计的, 粘滞键开启后,可以先按一个键位,再按另一键位,而不是同时按下两个键位,方便某些因身体原因而无法同时按下多键的人。
正常情况下我们连按五次 shift 键会弹出粘滞键
1.6.2.2 shift粘贴键演示执行文件位置
sethc.exe 就是 Windows 下的粘滞键,它的位置在
C:\Windows\System32\sethc.exe
1.6.2.3 sethc.exe映像劫持创建后门
1.6.2.3.1 简单介绍
映像劫持也被称为 IFEO(Image File Execution Options),在 WindowsNT 架构的系统里,IFEO 本是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境而设定的,但我们可以利用 Windows 的 IFEO 功能实现映像劫持。
这里我们通过映像劫持 sethc.exe ,以实现连按 5 次 shift 键调起 cmd.exe 命令行执行窗口。
1.6.2.3.2 实现步骤
Win+R 键入regedit 打开注册表
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
在 Image File Execution Options 下新建项:sethc.exe
在 sethc.exe 下新建字符串值:名为 debugger
设置debugger值为 cmd.exe 的绝对路径:
C:\Windows\System32\cmd.exe
1.6.2.3.2 后门创建成功
确定后测试一下,连按 5 次 shift 键:
成功调起 cmd
Win+L 锁屏后测试一下:
尽管在没有密码,锁屏的情况下,依旧可以调起 cmd,并且是 system 权限
虚拟机连按5次 shift 键没调出来,后面用实体机拍的照
1.6.3 shift粘贴键后门应急实战
1.6.3.1 上传分析工具
上传蓝队工具 Autoruns 进行分析
参考文章及工具获取:
https://blog.csdn.net/qq_51577576/article/details/130119164
1.6.3.2 分析找到源头
查看发现多了两个镜像劫持,文件位置在注册表的
HKEY_LOCAL_MACHINE\ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion\Image File ExecutionOption
HKEY_LOCAL_MACHINE\ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion\Image File ExecutionOption
右键跳转到注册表找到对呀选项进行查看,发现确实存在镜像劫持,植入了shift粘贴键后门
1.6.3.3 应急处置
删除sethc.exe即可,可以直接在注册表中删除。
1.6.3.4 应急处置成功
再次连按五次 shift 键会弹出粘滞键
