Windows五次Shift漏洞

本文首发于我的个人博客。

在小破站上看到了一个关于Windows五次shift的视频，觉得很有意思，就像拿来复现一下试试。原视频是在Window7虚拟机上进行的，由于现在基本上都已经用Win10了，我就想win10会不会还存在这个漏洞呢，但理想很丰满，现实很骨感，我的windows10 2004版本的虚拟机并没有找到能利用这个漏洞的地方，只好再次换成win7 Ultimate sp1 64位虚拟机尝试。

漏洞简介

此漏洞利用windows启动恢复功能，篡改系统文件名，从而可以利用命令行来清除用户密码或新建用户，以及更多事情。

漏洞复现

1. 给账户设置密码

这个不必多说，我们是为了绕过密码，肯定需要密码的。

2. 查看本机是否具有此漏洞

在用户登录界面连按五下shift键，出现该弹框，说明该漏洞存在。仔细看一下弹窗左上角的那个蓝色图标，把它刻在脑子里，一会儿我们需要用到这个东西。

3. 进入启动恢复

重新启动虚拟机（或电脑），在出现windows图标时再次重新启动，选择“启动启动恢复”。如果这里你的界面和截图不一样的话，试着再次重启。

之后会有个弹窗，问您是否想使用“系统还原”还原计算机，这里选择取消。然后就是漫长的等待。当Windows终于发现自己无法自动修复此计算机时，它会出现一个弹窗，问你是否发送有关此问题的信息，这里直接点击左下角的那个小箭头，然后把文本框拉到最下面，点击最下面的那个链接，这个是本地的文件。

4. 张冠李戴

打开txt文档后，点击“文件-->打开”，进入C盘的Windows/System32，在“文本类型”一栏选择“所有文件”。

找到sethc文件，注意图标，和最开始让记住的那个图标一样。找到后，重命名，只要不和原来的相同，其他的都可以。

在同一目录下寻找cmd文件，找到后复制粘贴生成一个副本，将该副本改名为sethc。

重命名完成后，即可点击取消，然后关闭所有的窗口，重新启动电脑。出现登录界面时，按五次shift，这时你就会发现，原本应该出现的弹窗不见了（当然，如果你是虚拟机且原系统为windows的话，还是会在本机出现这个弹窗的），取而代之的是命令行窗口，可以看到窗口的名字为sethc。这是因为当我们按下五次shift后，系统会去我们刚才进入过的目录寻找名字为sethc的文件并调用，调用的结果就是出现弹窗。但我们将原来的sethc文件重命名了，并新创建了一个sethc，那么系统就会调用我们新创建的这个文件，即命令行窗口。

5. 清除密码

net user 用户名 ""

上面这条命令将会清楚掉对应用户名的密码，在登录界面，用户名对我们是可知的。清除密码后，下次我们重新启动电脑就会跳过登录环节，直接进入我们的桌面了。

最后的最后，为了避免以后发生不必要的错误，最好还是再进入我们前面说过的目录，将文件名修改回原来的状态。