Windows后门漏洞利用之sethc粘滞键程序提权漏洞复现及详解

0x00前言

该程序名称为“esthc.exe”，其路径为“c:\windows\system32\sethc.exe”。该系统漏洞由于部分Win7及Win10在未进入系统时，可以通过连续按5次shift键弹出sethc.exe应用程序，然后再深入利用调出CMD窗口，通过指令对用户密码进行修改或删除，从而登录不知道密码的计算机。

0x02 漏洞验证

①强制重启计算机，想尽一切办法使你要渗透的主机进入“启动启动修复（推荐）

（PS：想要进入“启动启动修复（推荐）的方法是：当出现“正在启动 Windows”界面时，立刻强制关机电脑，即可进入），在“启动启动修复（推荐）中我们回车进入系统修复页面，注意哈～咱不是来修复系统的哈:好棒:

②选择“启动启动修复（推荐）”选项以后，它会启动修复，并弹出如下图中所示，这时它告诉我们它无法自动修复，提示我们发送不发送报告给微软～ 我们不用去理睬它:好棒:

③我们直接点击“查看问题详细信息”，此时漏洞就藏在这里啦。

④下拉滑动按钮，会看到两个链接，一个是“联机阅读隐私声明”，一个是“脱机阅读隐私声明”，注意啦，此时的“脱机阅读隐私声明”这个链接是今天的“角儿”，我们点击“脱机阅读隐私声明”这个链接，如下图所示

⑤点击“脱机阅读隐私声明”这个链接，我们发现其会打开一个名为erofflps的TxT文档，到这时，你可能有点疑问了...这打开的明明是一个TxT文档，你让我们咋渗透啊？用TxT文档渗透啊？没错，我们就是利用这个TxT文档“打开”功能进行来做点“好事”:奸诈:

⑥ 在记事本中，选择“打开”功能模块，注意啦～我们要开始啦～

⑦双击打开“计算机”，找到C盘，如下图所示

找到并打开“Windows”->“System32”文件夹

0x03 总结

感谢楼主分享，安全无小事，很小的一个txt文本就可能导致被新建windows管理员账号，进而被攻破windows系统。建议大家在平常使用windows系统时，尽可能的及时修复漏洞，安装终端杀毒软件并定期进行病毒查杀。希望楼主后续有更加精彩的分享。

感谢您的分享，GET到了新的知识点，已将文章放入技术博客中！

社区技术博客征稿活动正在进行，只要符合内容要求，就有奖励，欢迎投稿~
了解奖励和投稿要求，请参考：https://bbs.sangfor.com.cn/forum ... read&tid=103115

非常抱歉各位小伙伴们，本篇文章是自己亲自使用手机拍摄记录，其图片质量不佳，看起来会有点费劲，另后续更新的部分内容被拦截了～正在寻求社区小姐姐的帮助中～ 给大家带来的不便深表歉意