本文首发于我的个人博客。
在小破站上看到了一个关于Windows五次shift的视频,觉得很有意思,就像拿来复现一下试试。原视频是在Window7虚拟机上进行的,由于现在基本上都已经用Win10了,我就想win10会不会还存在这个漏洞呢,但理想很丰满,现实很骨感,我的windows10 2004版本的虚拟机并没有找到能利用这个漏洞的地方,只好再次换成win7 Ultimate sp1 64位虚拟机尝试。
漏洞简介
此漏洞利用windows启动恢复功能,篡改系统文件名,从而可以利用命令行来清除用户密码或新建用户,以及更多事情。
漏洞复现
1. 给账户设置密码
这个不必多说,我们是为了绕过密码,肯定需要密码的。
2. 查看本机是否具有此漏洞
在用户登录界面连按五下shift键,出现该弹框,说明该漏洞存在。仔细看一下弹窗左上角的那个蓝色图标,把它刻在脑子里,一会儿我们需要用到这个东西。
3. 进入启动恢复
重新启动虚拟机(或电脑),在出现windows图标时再次重新启动,选择“启动启动恢复”。如果这里你的界面和截图不一样的话,试着再次重启。
之后会有个弹窗,问您是否想使用“系统还原”还原计算机,这里选择取消。然后就是漫长的等待。当Windows终于发现自己无法自动修复此计算机时,它会出现一个弹窗,问你是否发送有关此问题的信息,这里直接点击左下角的那个小箭头,然后把文本框拉到最下面,点击最下面的那个链接,这个是本地的文件。
4. 张冠李戴
打开txt文档后,点击“文件-->打开”,进入C盘的Windows/System32,在“文本类型”一栏选择“所有文件”。
找到sethc文件,注意图标,和最开始让记住的那个图标一样。找到后,重命名,只要不和原来的相同,其他的都可以。
在同一目录下寻找cmd文件,找到后复制粘贴生成一个副本,将该副本改名为sethc。
重命名完成后,即可点击取消,然后关闭所有的窗口,重新启动电脑。出现登录界面时,按五次shift,这时你就会发现,原本应该出现的弹窗不见了(当然,如果你是虚拟机且原系统为windows的话,还是会在本机出现这个弹窗的),取而代之的是命令行窗口,可以看到窗口的名字为sethc。这是因为当我们按下五次shift后,系统会去我们刚才进入过的目录寻找名字为sethc的文件并调用,调用的结果就是出现弹窗。但我们将原来的sethc文件重命名了,并新创建了一个sethc,那么系统就会调用我们新创建的这个文件,即命令行窗口。
5. 清除密码
net user 用户名 ""
上面这条命令将会清楚掉对应用户名的密码,在登录界面,用户名对我们是可知的。清除密码后,下次我们重新启动电脑就会跳过登录环节,直接进入我们的桌面了。
最后的最后,为了避免以后发生不必要的错误,最好还是再进入我们前面说过的目录,将文件名修改回原来的状态。