实验环境
- 虚拟机:VMware Workstation 15.5pro
- 操作系统:Windows7 SP1
![]()
漏洞
- 5次shift漏洞:在未登录界面可以通过连按5次shift,会弹出一个粘滞键程序。
![]()
这个粘滞键程序位于 C:\Windows\System32\sethc.exe ![]()
- 部分win7及win10系统在未进入系统时,可以通过系统修复漏洞篡改系统文件名。这部分在演示中呈现。
准备工作
由于Win7默认是不开启Administrator用户的,但是普通用户权限又经常出问题,所以得先把Administrator用户给解禁了。
- 第一步,右键计算机 -> 管理 -> 系统工具 -> 本地用户和组 -> 用户,找到Administrator用户
![]()
- 第二步,右键Administrator用户 - > 属性,把账户已禁用那个勾去掉,这样就可以使用Administrator用户了
![]()
- 第三步,切换到Administrator用户,进入命令行(此时默认是管理员模式,即拥有全部权限),给Administrator用户修改一个很复杂的密码。
![]()
- 由于密码过于复杂,很快就忘记了,这下我们注销用户再登录就进不去了
![]()
于是,现在就到了我们破解密码的时刻了!
密码破解过程
第一步,先重启Win7,到下面这个界面时,把电源拔了!虚拟机该怎么拔电源呢?点击左上角那个插就可以了。
![]()
再次开机,当进入下面这个界面时,选择“启动启动修复”。
![]()
接着会问你是否系统还原,选择“取消”。
![]()
接下来便是漫长的等待(约10分钟)
![]()
……10分钟过去了,终于到了我们要的界面,在这里,我们选择“查看问题详细信息”
![]()
往下拉,发现这里竟然有个txt文件,打开它
![]()
左上角菜单 -> 文件 -> 打开(选择另存为也行,原理一样)
![]()
然后我们进入到了资源管理器的界面!
![]()
接下来的步骤,就很好理解了,先切换到 C:\Windows\System32 文件夹下,没错,就是sethc.exe所在的文件夹,同时把下面的文件类型改成“所有文件”,这样我们就可以找到sethc.exe了。
![]()
找到sethc.exe,重命名,随便起一个名就行。
![]()
然后我们再往上找,发现了不得了的东西!cmd.exe也在这个目录下!!!这下你们知道该做啥了吧。把cmd.exe重命名为 sethc.exe ,这样下次我们再按5次shift的时候,打开的就不是粘滞键程序,而是cmd了!(注:这里要先给cmd备份一个,不然系统就无法找到真正的cmd了)
![]()
完成上述操作后,关闭记事本,重启Win7,在登录界面连按5次shift,跳出来的不是粘滞键程序,而是命令行!这是我们执行
dos1
net user Administrator 密码
就可以成功修改密码并登入系统了!
![]()
![]()
参考链接
- https://www.bilibili.com/video/BV1i7411G7vm?p=18 (千峰开源网络安全教程p18)
- https://blog.csdn.net/weixin_43252204/article/details/105486061 (Beglage_buglige的学习笔记)
