前言

大家好，這是我人生中第一篇部落格！以前呢，沒有做筆記的習慣，導致很多東西瞭解、學習過後不久就忘了，也曾考慮過寫部落格，將學到的東西記錄下來，但是終究是懶了，現在為什麼又想寫部落格了呢？怎麼說呢，就當成長了吧。非洲經濟學家Dambisa Moyo的《baidead aid》中說過：「The best time to plane a tree is 20 years ago. The second-best time is now.」 人總會有個改變的，就從現在開始吧。

漏洞簡介

這個漏洞我是在看網路安全相關視訊看到的，在windows登入介面連續按5次shift，會彈出「粘滯鍵」的框，利用這個彈窗和windows的系統恢復功能來篡改C:\Windows\System32下的sethc的檔名，利用命令列建立新的賬戶，以此來繞過之前的賬戶密碼登入。

Windows 7 漏洞復現

首先檢視所用win7版本是否有5次shift漏洞，在登入介面連續按5次shift，發現有「粘滯鍵」彈窗，說明有這個漏洞：

1.建立賬戶及密碼

命令列新建立一個名為liao的賬戶，密碼是後面那一大串，記不住沒關係，就是為了讓你記不住，完成過後登出：

這裡需要密碼，咱們（假裝）不知道，怎麼辦呢？哎，重新啟動！

2.重新啟動電腦

重新啟動電腦，在重新啟動出現windows 7圖示的時候強制斷開電源（這很關鍵），然後再次開啟電腦，會進入以下介面：

3.啟動恢復

我們選擇上圖紅框選項即可。然後系統會自己進入啟動修復狀態。接著會進入以下介面，選擇取消：

系統會繼續嘗試修復，然而並沒有什麼用，畢竟怎麼造成這種狀況的自己最清楚。再次修復失敗會彈出：
選擇紅框位置，檢視問題詳細資訊：

選擇紅框連結，會看到一篇檔案，這個檔案不重要，重要的是可以存取到C槽的檔案，而且是最高許可權。

4.偷樑換柱

進入檔案之後，選擇檔案–開啟–計算機C:\Windows\System32：

檔案型別選擇所有檔案，找到sethc檔案，將sethc重新命名，名字隨意。然後找到cmd，複製一份，將複製的這一份命名為sethc：

一切都做完之後，點選取消，退出所有介面，然後重新啟動電腦。

5.進入系統

重新啟動電腦過後，進入登入介面，再按5次shift，彈出的就不是「粘滯鍵」彈窗了，而是cmd命令列，此時注意使用者是system32，說明是系統使用者，擁有最高階許可權，可以刪除/新建使用者以及使用者密碼，選擇新建一個使用者就行，畢竟刪除了密碼，人家下一次登入就發現密碼沒了，就知道電腦被動過了，如果只是想繞過密碼，刪除和新建都可以。

net user abc 「」 /add 是建立一個新使用者abc，密碼為空。
net localgroup administrators abc /add 是將abc使用者新增進管理員組。
至此，就能用abc這個管理員使用者存取電腦了。當然，別忘了把sethc修改過來，為了不讓別人發現，存取過後將abc使用者刪除，再將紀錄檔清除。以上便是windows 7的5次shift漏洞復現的全部內容，由於是第一次寫部落格，經驗不足，有什麼不到位的地方，還請各位不吝賜教，多多指正。