权限维持——修改Windows计划任务

权限维持——修改Windows计划任务

Scroll Down

image.png

之前准备的讲课用的讲义,但是由于疫情原因,课程取消了。

分享一些里面写到的知识,但是由于也有很多没有写完。连载一些里面提到的Tips技巧。

“修改”计划任务

我们也可以进行修改已有计划任务进行权限维持,并不需要添加。当我们的木马文件需要落地时,可以有效的进行隐蔽。
Github上有个项目可以帮助我们进行:
https://github.com/RiccardoAncarani/TaskShell

文件替换

这个非常简单,所需要的只是找到一个带有启动程序的操作的任务,然后将目标可执行文件与您自己的可执行文件交换。
例如,让我们检查这个与 FireFox 相关的计划任务:
image.png
我们将default-browser-agent.exe替换成calc.exe。
image.png

修改后,使用-r参数进行立即运行计划任务。可以看到,计算器程序成功弹出。
image.png

这种方式不会产生事件ID,所以在溯源行为中不易暴露。

任务替换

计划任务有一组与之关联的“操作”。我们可以修改与特定任务关联的操作以执行任意代码(使用 EXE 或 LOLbin)。
Mr-Un1k0d3r 用他的SCShell推广了类似的方法。SCShell 使用服务控制管理器 (SCM) API 来修改binpath给定服务的值。

image.png
使用-b 参数修改action动作的值。并且使用了-r 参数让该计划任务立即运行。
image.png