基本介紹
漏洞描述,產生根源,影響系統,漏洞利用,黑客利用,密碼破解,後門防範,
漏洞描述
黑客用其它應用程式(如:cmd.exe、explorer.exe 或木馬、病毒)將Sethc.exe替換。當再次連續按5次SHIFT鍵,就會啟動黑客替換的應用程式,如此便留下了5下SHIFT後門,黑客3389登錄遠程計算機時,在用戶登錄界面,連續按5下SHIFT就可以啟動該漏洞,進而控制遠程計算機。
產生根源
在Windows系統登錄界面狀態下,粘滯鍵仍可以以連續按5下SHIFT鍵運行,並且此時應用程式會以WINDOWS的最高許可權-SYSTEM許可權運行,所以計算機一旦被安裝該後門,入侵者便可悄無聲息地遠程操縱計算機。
影響系統
漏洞利用
黑客利用
該後門常常被黑客利用,比如:在提權過程中遇到無法添加用戶,必須的組件被禁用時,用cmd.exe /c copy c:\windows\system32\cmd.exe c:\windows\system32\sethc.exe /y 命令便可以很快的安裝5下SHIFT後門。這時,在遠程登錄計算機的時候,連按5下SHIFT便可以以系統許可權啟動DOS,輕鬆獲取最高許可權。
密碼破解
該後門也可以用於破解WINDOWS登錄密碼,想必很多網友都知道用光碟破解WINDOWS登錄密碼最快最用效。但如果手頭沒有光碟怎么辦?網上的方法很多,但成功的有幾個?這時,只要系統能進入純DOS(現在大多數計算機都帶DOS工具箱或是一鍵GHOST),同樣用上述方法copy c:\windows\system32\cmd.exe c:\windows\system32\sethc.exe /y 便可以安裝該後門,重啟後進入WINDOWS登錄界面,連按5下SHIFT會彈出DOS,輸入命令:net user administrator "" 回車(註:純DOS下該命令無效),這時管理員的密碼就重置為空,直接登錄即可。