一、利用5次shift漏洞破解win7密码

1.1 漏洞

        1. 在未登录时，连续按5次shift键，弹出程序C:\Windows\System32\sethc.exe

        2. 部分win7及win10系统在未进入系统时，可以通过系统修复漏洞篡改系统文件名！

        注意：如win7或win10系统已经修补漏洞2，则无法利用 

1.2 破解过程相关知识

        1. cmd工具路径：

                C:\Windows\System32\cmd.exe

        2. 用户/账户密码存储位置：

                C:\Windows\System32\config\SAM                  # 非逆转型加密,使用hash值类似

        3. 修改账户密码：

                net user 用户名 新密码

1.3 漏洞利用过程

案例：破解win7系统密码

实验步骤：

        1. 开启win7虚拟机，开机，并设置一个复杂密码
        2. 关机，并开机，在出现windows启动界面图时强制关机
        3. 再开机，出现“启动修复（推荐）”及选择该选项   # 如未出现，多尝试几次第2步，如还不               行，请换其他方法       
        4. 出现系统还原提示，点击取消，等待几分钟后，会出现问题原因，点击查看详细信息
        5. 打开最后一个链接即一个记事本
        6. 记事本中点击打开，并选择显示所有文件                                                 ​​​​​​​        ​​​​​​​        ​​​​​​​        ​​​​​​​              7. 找到sethc并改名sethc-bacz，再找到cmd，复制一份cmd改名为sethc
        8. 全部关闭，重启              
        9. 系统启动完毕后，连续按5次shift键，将弹出cmd工具，使用命令net user 用户名 新密                 码（密码可以是"" 表示空密码），将当前用户密码修改掉即可，或者另外建立1个用户，并             提升为管理员，注销后，可再             删除新建的用户，这样的好处为不修改当前用户的密             码即可登录系统。  

图示：

1. 选择启动修复（推荐）

 2. 出现系统还原提示，点击取消

 3. 等待几分钟

4. 点击查看详细信息

 5. 打开最后一个链接即一个记事本

6. 记事本中点击打开，并选择显示所有文件           

 

 7. 找到sethc并改名sethc-bacz，再找到cmd，复制一份cmd改名为sethc，cmd也在这个目录下

 

 8. 全部关闭，重启，系统启动完毕后，连续按5次shift键，将弹出cmd工具，现在是管理员权限打开了cmd，要改密码、创建用户之类的系统操作都可以了。

9. 更改账户密码，使用命令net user 用户名 新密码（密码可以是"" 表示空密码），只写net user      可以查看用户列表

10. 还可以创建一个新的用户，然后把用加入到管理员组，把需要做的事件做完之后把用户删除，这样就会隐蔽点，还可以把系统日志清理掉。

创建用户的命令：net user 用户名 /add

把用户加入管理员组的命令：net localgroup 组名 用户名 /add     （管理员组名：Administrator）

删除用户：net uset 用户名 /del