本文首發於我的個人部落格。
在小破站上看到了一個關於Windows五次shift的視訊,覺得很有意思,就像拿來複現一下試試。原視訊是在Window7虛擬機器上進行的,由於現在基本上都已經用Win10了,我就想win10會不會還存在這個漏洞呢,但理想很豐滿,現實很骨感,我的windows10 2004版本的虛擬機器並沒有找到能利用這個漏洞的地方,只好再次換成win7 Ultimate sp1 64位虛擬機器嘗試。
漏洞簡介
此漏洞利用windows啟動恢復功能,篡改系統檔名,從而可以利用命令列來清除使用者密碼或新建使用者,以及更多事情。
漏洞復現
1. 給賬戶設定密碼
這個不必多說,我們是為了繞過密碼,肯定需要密碼的。
2. 檢視本機是否具有此漏洞
在使用者登入介面連按五下shift鍵,出現該彈框,說明該漏洞存在。仔細看一下彈窗左上角的那個藍色圖示,把它刻在腦子裡,一會兒我們需要用到這個東西。
3. 進入啟動恢復
重新啟動虛擬機器(或電腦),在出現windows圖示時再次重新啟動,選擇“啟動啟動恢復”。如果這裡你的介面和截圖不一樣的話,試著再次重啟。
之後會有個彈窗,問您是否想使用“系統還原”還原計算機,這裡選擇取消。然後就是漫長的等待。當Windows終於發現自己無法自動修復此計算機時,它會出現一個彈窗,問你是否傳送有關此問題的資訊,這裡直接點選左下角的那個小箭頭,然後把文字框拉到最下面,點選最下面的那個連結,這個是本地的檔案。
4. 張冠李戴
開啟txt文件後,點選“檔案-->開啟”,進入C盤的Windows/System32,在“文字型別”一欄選擇“所有檔案”。
找到sethc檔案,注意圖示,和最開始讓記住的那個圖示一樣。找到後,重新命名,只要不和原來的相同,其他的都可以。
在同一目錄下尋找cmd檔案,找到後複製貼上生成一個副本,將該副本改名為sethc。
重新命名完成後,即可點選取消,然後關閉所有的視窗,重新啟動電腦。出現登入介面時,按五次shift,這時你就會發現,原本應該出現的彈窗不見了(當然,如果你是虛擬機器且原系統為windows的話,還是會在本機出現這個彈窗的),取而代之的是命令列視窗,可以看到視窗的名字為sethc。這是因為當我們按下五次shift後,系統會去我們剛才進入過的目錄尋找名字為sethc的檔案並呼叫,呼叫的結果就是出現彈窗。但我們將原來的sethc檔案重新命名了,並新建立了一個sethc,那麼系統就會呼叫我們新建立的這個檔案,即命令列視窗。
5. 清除密碼
net user 使用者名稱 ""
上面這條命令將會清楚掉對應使用者名稱的密碼,在登入介面,使用者名稱對我們是可知的。清除密碼後,下次我們重新啟動電腦就會跳過登入環節,直接進入我們的桌面了。
最後的最後,為了避免以後發生不必要的錯誤,最好還是再進入我們前面說過的目錄,將檔名修改回原來的狀態。