在很多情况下,在提权比较艰难的时候,替换shift后门提权很方便,为了防止shift后门被利用,得对它设置权限。防止简单替换shift后门提权。
一、sethc.exe存在于
c:\windows\system32\sethc.exe和c:\windows\system32\dllcache\sethc.exe
这2个目录之下
为了防止简单替换sethc.exe提权,可对sethc.exe设置权限,删除所有的用户组。
包括administrators和system组的权限,防止简单替换进入服务器。
删除所有用户组不保留!
就防止简单替换了!
还要注意的一点就是:防止shift后门的sethc.exe镜像劫持
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
删除所有用户的用户组,加上everyone组并设置全部拒绝。
这样只能对提权起到一点的阻碍
【声明】:8090安全小组门户(https://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们:邮箱hack@ddos.kim,我们会在最短的时间内进行处理。
发表评论