我们都知道,windows系统按5下shift后,windows就执行了system32下的sethc.exe,也就是启用了粘滞键。虽然快捷方便,但却存在安全隐患。
创建shift快捷键后门
将我们的cmd.exe或者木马后门名字改成sethc.exe,然后替换C:windows\system32\sethc.exe程序
命令:1copy C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\sethc.exe /Y
测试是否成功
使用远程连接,按5下shift键可以调出cmd命令窗口,还可以添加账户:
使用net user可以查看是否添加成功。
使用命令添加到管理员组1net localgroup administrators test /add
然后就可以使用创建的用户登录了
远程桌面会话劫持登录主机
结合query和tscon命令达到会话劫持目的
query user查询所有已登录的用户会话信息
tscon 会话ID切换到目标会话状态
回车之后可直接切换成目标用户登录系统。
修复方案
方案一:删除sethc.exe程序所有用户运行权限
接下来就无法使用粘滞键快捷键了,另外提醒一下,直接删除sethc.exe是没用的,系统还会自动找回。
方法二:添加一个everyone用户组,然后权限选择拒绝所有
方案三:禁用shift快捷键
