粘滞键后门攻击复现

最近跟着大佬的博客复现了下粘滞键后门的攻击场景，这里做个记录。

环境

• Windows 10

概念&原理

• 粘滞键：粘滞键指的是电脑使用中的一种快捷键，专为同时按下两个或多个键有困难的人而设计的。粘滞键可以先按一个键位（如shift），再按另一键位，而不是同时按下两个键位，方便某些因身体原因而无法同时按下多键的人。一般的电脑连按五次shift会出现粘滞键提示。

• 粘滞键后门：使用重命名后的cmd.exe命令行程序替换系统内置的sethc.exe粘滞键程序后，当黑客再次连接主机，无需登录，在输入密码处连续按下五次shift键即可启动cmd命令行程序，执行任意代码。

场景复现

由于该场景位于渗透中的后半阶段，攻击者在一次渗透中成功的拿到了主机管理员权限，但想要进行维持，方便下次再来，于是构建一个后门程序。

1. 首先打开靶机，搜索sethc，打开文件所处位置的文件夹，也就是C:\Windows\System32文件夹：
   

   sethc所在文件夹

2. 右键单击，选择属性，在弹出来的对话框中选择安全->高级：

   
   属性

3. 在弹出来的对话框中点击更改所有者，在弹出来的对话框中输入当前用户名，点击检查名称，然后依次确定即可：

   
   更改所有者

4. 重复步骤2，可以看到所有者已经更改完成，点击左下角的添加，在弹出来的对话框中点击选择主体，在弹出来的对话框中输入当前用户名，点击检查名称，然后确定，在类型处选择允许，勾选完全控制，然后依次点击确定即可：

   
   添加用户权限

5. 弹窗，选是：

   
   弹窗

6. 然后将sethc.exe重命名为-sethc.exe（或者挪到其他文件夹），刚刚步骤1-5主要是为了确保这一步正确进行，重命名弹窗直接选继续：
   

   重命名弹窗

7. 在同级目录下找到cmd.exe，复制粘贴，重命名为sethc.exe，弹窗同样选继续：
   

   重命名弹窗

至此，就完成程序替换实现了后门植入

攻击实施

重新连接到这台靶机，在入口处无需登录，直接在输入账号密码处连续按下五次shift键，就可以看到cmd窗口以管理员权限被唤起，可以执行任意命令：

成功截图

参考资料

• 粘滞键后门
• ATT&CK执行触发的事件-辅助功能