分享一下我老师大神的人工智能教程!零基础,通俗易懂!http://blog.csdn.net/jiangjunshow
也欢迎大家转载本篇文章。分享知识,造福人民,实现我们中华民族伟大复兴!
前言
早上地铁上看到了安全客的一篇文章,从一道高质量的ctf题中看渗透测试,虽然只是一道ctf题,但是对其中提到的粘滞键提权十分好奇,这里对其做了一个简单的实验~
原理
windows下连续按五次shift会调用c:\windows\system32\sethc.exe
在我们已经登录系统时,这个程序是以我们自己的用户权限运行的。
但是当我们未登陆系统(停留在登陆界面)的时候 系统还不知道我们将以哪个用户登陆,所以在这个时候连续按5次shift后门的话系统将会以system用户(比管理员更高级别的权限)来运行sethc.exe这个程序
cmd.exe的默认路径是c:\windows\system32\cmd.exe,所以这里如果我们把cmd.exe更名为sethc.exe,那么我们按下五次shift将会调用cmd窗口,由于是在未登录的状态下运行的,所以是个system权限的,所以就达到了提权的目的(可以进一步创建一个管理员权限的账户)
虚拟机win7环境测试
- 首先删除sethc.exe就失败了
- 为什么我当前是管理员权限都无法对其修改?我们对其权限进行了查看
- 首先将文件所有者改成我目前的管理员,再将所有权限赋予所有user,即不需要管理员权限
- 这时就可以删除sethc.exe了,再同样操作对cmd,之后将其移到sethc.exe的目录下并改名为sethc
- 重启电脑,未登陆状态连续按5次Shift
结果表明确实可以未登录就获取到具有管理员权限的cmd,但是很重要的一个步骤!我得需要管理员权限才能完成cmd的移动及改名操作
结论
1、完成粘滞键提权操作的必要步骤需要首先具有管理员权限,其实感觉挺鸡肋的~
2、针对两种特殊情况却又很有用,有管理员权限但被限制在c盘;或者get到trustedinstaller权限,去提权到管理员权限~
给我老师的人工智能教程打call!http://blog.csdn.net/jiangjunshow
