利用win7shift粘滞键漏洞破解系统密码

你需要知道的一些东西：

1.粘滞键位置：c:\windows\system32\stthc.exe
2.cmd路径：c:\windows\system32\cmd
3.用户密码储存位置：c:\windows\system32\config\SAM
4.修改用户密码的命令：net user 用户名密码

本次实验环境

实验原理

这是一次关于提权的尝试。shift粘滞键漏洞是windows系统一个经典的漏洞，不过据说，最新版的win7和win10都对这个漏洞进行了修补，是真是假，咱也不敢说，咱也不敢问，可以自行验证一下哈。
本次实验，选择win7虚拟机进行，也算是对自己学习的这个漏洞的思路的一个记载，方便开拓一种提权思路。前提是，粘滞键处于开启状态哦，即在登录用户页面摁5次shift键，出现下图这么个东东。（其实思路是比较简单的，就是在开机界面通过一些技巧，将粘滞键这个应用名掉包，以cmd这个应用替换掉sethc(即粘滞键），从而在登录界面以system身份打开cmd完成一次提权）

过程(还是蛮轻松的呢）

预准备：我们来给该系统设置一个开机密码（若已有密码，则可跳过此步骤）
设置了一个反正我记不住的密码。接下来，我们假装忘记密码（其实是真忘了），就开始我们的破解大任吧。（一般来说，win7试个一两次就可以出现这个漏洞）
这次真的正式开始了：
1.将系统关机重启（这里比较推荐强制关机，这样会更容易出现下图界面）：2.进入启动启动修复，让他修呗（反正他也找不到问题）哦豁，，果然没有修复，那么点取消（不可能傻到点还原的吧），继续调戏系统。他还是会很卖力的帮你尝试修复，但终究徒劳不是。等着它，死等。哦豁，，果然没有修复，那么点取消（不可能傻到点还原的吧），继续调戏系统。他还是会很卖力的帮你尝试修复，但终究徒劳不是。等着它，死等。一段时间过后，出现了曙光：点击查看问题详细信息点开之后下滑，有两个链接，第一个是微软官方文档，已经错误代码，当然没兴趣读，第二个，就是可以打开本地的一个记事本啦。记事本里的废话我们当然不关心，咱们点文件>打开盘符名称可能不一样哈，，只要自己打开看看哪个有windows目录，哪一个就是（实际意义上的c盘）。
之后，在window目录下，找到system32打开进入，发现满满的文件夹，点击文件类型，选择所有文件。将会看到所有程序找到sethc，这就是粘滞键的程序，我们为了让cmd顶替它，需要先把sethc的名字改掉，改什么看自己心情。（我改成了个abc哈）
之后我们去找cmd，找到后，右击，复制，并在空白处粘贴!
出现一个cmd-副本，对准副本文件，右键，重命名，改为sethc（不要改错名字哈，改错就要重新再来了哦）
好一招狸猫换太子，偷天换日，瞒天过海，偷梁换柱。。。。。。之后，一路关闭，，点完成，让它关机，你再把它重启。
在登录界面，摁五次shift键，猜猜出现了什么
没错，，就是传奇的cmd，，同时，你可以很happy的发现，你的身份是system，这可是至高无上的权限哦。net user一下，看看咱们的用户有啥。我这上面刚刚设密码的时MHY这个账户，所以，改它。(错误可忽略）

我决定，不设密码。。（“”代表没有密码哦。）回车，命令执行成果，至高无上的权柄果然强
之后直接登录呗就，，登陆成功。。本次实验成功。。。庆祝一下吧。