这是做者的系列网络安全自学教程，主要是关于安全工具和实践操做的在线笔记，特分享出来与博友们学习，但愿您们喜欢，一块儿进步。前文详细讲解了绕狗一句话原理、绕过安全狗的经常使用方法和过狗菜刀，并实践安装安全狗进行实际测试。本文将分享Windows系统漏洞，经过5次Shift漏洞重改CMD，最终实现修改计算机密码并启动计算机，其思路仍是比较有趣的，但愿对您有所帮助！git

做者做为网络安全的小白，分享一些自学基础教程给你们，但愿您们喜欢。同时，更但愿您能与我一块儿操做和进步，后续将深刻学习网络安全和系统安全知识并分享相关实验。总之，但愿该系列文章对博友有所帮助，写文不易，大神们不喜勿喷，谢谢！若是文章对您有帮助，将是我创做的最大动力。github

PS：本文参考了B站（Shimisi老师）和参考文献中的文章，并结合本身的经验进行撰写，也推荐你们阅读参考文献。web

下载地址：https://github.com/eastmountyxz/NetworkSecuritySelf-study
资源下载地址：正则表达式

前文学习：
[网络安全自学篇] 一.入门笔记之看雪Web安全学习及异或解密示例
[网络安全自学篇] 二.Chrome浏览器保留密码功能渗透解析及登陆加密入门笔记
[网络安全自学篇] 三.Burp Suite工具安装配置、Proxy基础用法及暴库示例
[网络安全自学篇] 四.实验吧CTF实战之WEB渗透和隐写术解密
[网络安全自学篇] 五.IDA Pro反汇编工具初识及逆向工程解密实战
[网络安全自学篇] 六.OllyDbg动态分析工具基础用法及Crakeme逆向破解
[网络安全自学篇] 七.快手视频下载之Chrome浏览器Network分析及Python爬虫探讨
[网络安全自学篇] 八.Web漏洞及端口扫描之Nmap、ThreatScan和DirBuster工具
[网络安全自学篇] 九.社会工程学之基础概念、IP获取、IP物理定位、文件属性
[网络安全自学篇] 十.论文之基于机器学习算法的主机恶意代码
[网络安全自学篇] 十一.虚拟机VMware+Kali安装入门及Sqlmap基本用法
[网络安全自学篇] 十二.Wireshark安装入门及抓取网站用户名密码（一）
[网络安全自学篇] 十三.Wireshark抓包原理（ARP劫持、MAC泛洪）及数据流追踪和图像抓取（二）
[网络安全自学篇] 十四.Python攻防之基础常识、正则表达式、Web编程和套接字通讯（一）
[网络安全自学篇] 十五.Python攻防之多线程、C段扫描和数据库编程（二）
[网络安全自学篇] 十六.Python攻防之弱口令、自定义字典生成及网站暴库防御
[网络安全自学篇] 十七.Python攻防之构建Web目录扫描器及ip代理池（四）
[网络安全自学篇] 十八.XSS跨站脚本攻击原理及代码攻防演示（一）
[网络安全自学篇] 十九.Powershell基础入门及常见用法（一）
[网络安全自学篇] 二十.Powershell基础入门及常见用法（二）
[网络安全自学篇] 二十一.GeekPwn极客大赛之安全攻防技术总结及ShowTime
[网络安全自学篇] 二十二.Web渗透之网站信息、域名信息、端口信息、敏感信息及指纹信息收集
[网络安全自学篇] 二十三.基于机器学习的恶意请求识别及安全领域中的机器学习
[网络安全自学篇] 二十四.基于机器学习的恶意代码识别及人工智能中的恶意代码检测
[网络安全自学篇] 二十五.Web安全学习路线及木马、病毒和防护初探
[网络安全自学篇] 二十六.Shodan搜索引擎详解及Python命令行调用
[网络安全自学篇] 二十七.Sqlmap基础用法、CTF实战及请求参数设置（一）
[网络安全自学篇] 二十八.文件上传漏洞和Caidao入门及防护原理（一）
[网络安全自学篇] 二十九.文件上传漏洞和IIS6.0解析漏洞及防护原理（二）
[网络安全自学篇] 三十.文件上传漏洞、编辑器漏洞和IIS高版本漏洞及防护（三）
[网络安全自学篇] 三十一.文件上传漏洞之Upload-labs靶场及CTF题目01-10（四）
[[网络安全自学篇] 三十二.文件上传漏洞之Upload-labs靶场及CTF题目11-20（五）]
[网络安全自学篇] 三十三.文件上传漏洞之绕狗一句话原理和绕过安全狗（六）算法

前文欣赏：
[渗透&攻防] 一.从数据库原理学习网络攻防及防止SQL注入
[渗透&攻防] 二.SQL MAP工具从零解读数据库及基础用法
[渗透&攻防] 三.数据库之差别备份及Caidao利器
[渗透&攻防] 四.详解MySQL数据库攻防及Fiddler神器分析数据包shell

该篇文章参考了如下文献，很是推荐你们阅读这些大牛的文章和视频：
https://github.com/eastmountyxz
《Web安全深度剖析》《黑客攻防技术宝典浏览器实战篇》
https://www.bilibili.com/video/av60018118 (B站白帽黑客教程)
2019/Web安全/漏洞挖掘/信息收集/SQLMAP/SSRF/文件上传/逻辑漏洞 (B站强推)
2019文件上传漏洞专题渗透入门网络安全黑客web攻防详解 (Fox B站强推)
2019 黑客入门基础Windows网络安全精讲 - Shimisi-B站
https://blog.csdn.net/weixin_44421798/article/details/100405496数据库

声明：本人坚定反对利用教学方法进行犯罪的行为，一切犯罪行为必将受到严惩，绿色网络须要咱们共同维护，更推荐你们了解它们背后的原理，更好地进行防御。编程

一.原理知识

当咱们使用计算机时，连续按下5次shift键会弹出一个程序，以下图所示：windows

该程序名称为“esthc.exe”，其路径为“c:\windows\system32\sethc.exe”。该系统漏洞因为部分Win7及Win10在未进入系统时，能够经过连续按5次shift键弹出sethc.exe应用程序，而后再深刻利用调出CMD窗口，经过指令对用户密码进行修改或删除，从而登陆不知道密码的计算机。浏览器

其基本流程以下：

• 首先，在未登陆系统时，连续按5次shift键，弹出程序“c:\windows\system32\sethc.exe”。
• 其次，接着强制关机想办法进入“启动启动修复（推荐）”界面，该界面存在一个漏洞，它能打开一个本地的错误TXT文件。
• 再次，经过TXT文件的打开选项，在未进入系统以前就打开C盘存放“sethc.exe”的位置，接着将cmd.exe程序复制一个副本，并命名为“sethc.exe”。
• 最后，重启计算机再次按下5次Shift键时，会弹出CMD界面，再输入命令修改登陆密码。

连续按5次shift键它会去C盘目录下调用sethc.exe程序，以下图所示。

注意：部分Win7和Win10系统以及修补了该漏洞，因此系统版本更新和打补丁是咱们防护很是重要的手段之一。

二.帐户密码操做

SAM文件存储着Windows的帐号和密码，使用Hash算法加密，不可逆。处理方法是爆破处理，但须要花费时间的代价。这里先补充CMD中修改密码的常见命令，经过该方法修改密码。

• CMD工具路径：c:\windows\system32\cmd
• 用户帐户密码存储位置：c:\windows\system32\config\SAM
• 修改帐户密码：net user 用户名 新密码
• 建立一个新用户：net user 用户名 新密码 /add
• 删除用户：net user 用户名 /del
• 提示管理员：net localgroup administrators 用户名 /add

假设如今须要设置密码，用管理员身份运行CMD。

为用户“shimisi”设置一个复杂的开机密码。

接着注销电脑，等待输入密码开机，由于密码过于复杂，咱们没法开机。那怎么解决呢？

三.漏洞验证

(1) 重启计算机，当出现“正在启动 Windows”界面时，马上强制关机电脑。这是模拟现实生活中忽然断电或不正常关机的场景，从而弹出“修复模式”。建议你们尽可能别在真实的电脑中尝试。

(2) 接着再开机时会进入“windows错误恢复”界面，以下图所示。

(3) 选择“启动启动修复（推荐）”选项，它会启动修复，并弹出以下图所示的对话框。

(4) 接着提示“您想使用‘系统还原’还原计算机吗？”点击“取消”，它会继续尝试修复。

(5) 此时他没法自动修复，弹出新的对话框，以下图所示，一般咱们会点击“发送”或“不发送”。

(6) 须要注意的是，这里点击“查看问题详细信息”，漏洞就藏在这里。咱们不须要理解它的具体含义，它是微软内部的问题报告。

(7) 咱们往下拉，会看到两个超连接，一条是联机远程访问微软的，另外一个是脱机访问本地的TXT文件，这里点击第二条。

(8) 咱们打开这个文件以下图所示，它的内容是什么咱们并不关系，而关系的是它有一个打开文件的按钮。经过该按钮，咱们是否是能作点什么呢？即便在没有进入系统的状态。

(9) 点击“文件”->“打开”，能够看到“计算机”。

(10) 双击打开“计算机”，此时虽然没有进入系统，但可以看到磁盘分区，这里的“D”才是真实的C盘。

打开以下图所示：

(11) 此时它会有一个本地的记事本，能够经过它打开TXT文件。因为还未进入系统，目前没有用户的概念，因此在这个状态下是以最高权限去进行运行的。接着打开“Windows”->“System32”文件夹，以下图所示：

(12) 找到“sethc”文件。

(13) 将“sethc”名称修改成“123”，下次再按5次shift键，它就不能再找到这个可执行文件了。

(14) 而后找到“cmd”文件，注意该CMD文件也在该目录下，为何要找到它呢？咱们想作一个偷换，让连续按5次shift键调用CMD，再输入命令修改开机密码。

(15) 点击该程序，右键复制，而后粘贴。防止别对cmd形成修改。

(16) 接着重命名，修改成“sethc”。系统不会验证你内容是什么，只是根据程序名调用可执行程序。

(17) 关闭记事本，而后完成启动计算机。

(18) 此时咱们再按5次Shift键，弹出的对话框是CMD，这就很是可怕了。

(19) 这里能够设置新密码，也能够设置无密码，即net user shimisi “” 。

此时就能成功进入系统了，是否是很神奇，经过这一连串漏洞，咱们成功进入了系统。最好再次启动的时候删除被修改为cmd的“sethc”，同时将“123”名称改回成“sethc”。

可是这种方法存在一个缺点，若是你本身电脑忘记密码还能够，但若是你修改了别人电脑的密码，别人下次登陆就知道了。后面分享一种不修改密码的状况下，以最高管理员权限进入系统。

同时，咱们能够调用“net haha feigezuishuai /add”增长新的用户，经过新用户登陆系统。

但haha只是一个普通用户，接着须要将haha用户提权，将它添加到管理员组中。调用命令“net localgroup administrators haha /add”。

增长成管理员以后，重启电脑此时会有新的用户界面。

成功以系统管理员的身份进入了操做系统。

完成以后咱们还须要删除用户，消灭踪影。调用命令“net user haha /del”。

该漏洞可能已经被Win7和Win10修复，但仍有部分未更新的系统存在，因此系统补丁、版本更新是很是重要的步骤。而黑客也会对比不一样版本的补丁进行攻击。

四.总结

简单总结下该篇文章的方法：

• 开启win7虚拟机，开机并设置一个复杂密码
• 关机再开机，再出现Windows启动界面时强制关机
• 再开机出现“启动修复（推荐）”及选择该项。若是没有出现，多长时间几回强制关机或者换方法。
• 出现系统还原提示，点击取消，等待几分钟后，会出现问题缘由，点击查看详细信息
• 打开最后一个连接即一个记事本
• 记事本中点击打开，并选择显示全部文件
• 找到sethc并更名为sethc-bak，再找到cmd，复制一份更名为sethc
• 所有关闭重启
• 系统启动完毕连续按5次shift键，将弹出cmd工具，使用命令“net user 用户名 新密码”，将当前用户密码修改便可，或者另建一个新用户，并提高为管理员，注销后可再删除新建的用户，这样的好处是不修改当前的用户密码便可登陆系统
• 成功登陆系统

写到这里，这篇基础性文章就此结束，最后但愿这篇基础性文章对您有所帮助。忽然发现，做者已经写了400篇文章了，很是值得记念，从此也但愿帮到更多的读者。也以为本身的技术好浅，要学的知识好多，但愿读博四年能不断成长，不负青春~

(By:Eastmount 2019-12-25 晚上10点写于武汉 http://blog.csdn.net/eastmount/ )