任务计划程序服务(Task Scheduler service)是Windows操作系统中的一个核心服务,它负责管理和执行计划任务。任务计划程序服务(Task Scheduler service)在后台运行,并由 svchost.exe 进程来托管。任务计划程序服务允许用户创建、编辑和删除计划任务。用户可以通过图形用户界面(Task Scheduler GUI)、命令行工具(如schtasks)或编程接口来管理计划任务,用于在预定的时间或特定事件发生时自动执行一系列任务。
某天忽然发现公司上百台机器中了变种的挖矿病毒DTLMiner,该病毒传播方式有多种,主要利用永恒之蓝漏洞、弱口令、mimikatz抓取域密码,数据库弱口令等方式传播,中毒后的机器会沦为挖矿机。
描述:计划执行任务(Server专用)AT命令安排在特定日期和时间运行命令和程序,再进行$IPC空会话会用到,注意要使用AT命令计划服务必须已在运行中。 语法参数:
计划任务的持久化技术可以手动实现,也可以自动实现。有效负载可以从磁盘或远程位置执行,它们可以是可执行文件、powershell脚本或scriptlet的形式。这被认为是一种旧的持久性技术,但是它仍然可以在red team场景中使用,并且由各种开源工具支持。Metasploit 的web_delivery模块可用于托管和生成各种格式的有效载荷。
Windows操作系统中提供了一个实用工具schtasks.exe,系统管理可以使用该工具完成在指定日期和时间执行程序或脚本的工作。但是目前这个工具经常被黑客或者红队利用,从而实现持续性攻击。普通情况下,通过计划任务实现持续性攻击不需要用到管理员的权限,但是如果你希望能获得更加灵活的操作,例如指定用户登录时或者系统空闲时执行某个任务,还是会需要用到管理员的权限。
一些安全研究员发现,通过修改创建的计划任务的注册表,同时删除计划任务文件,可以完全隐藏计划任务,并且执行不受影响
前言 在我们获得初始会话之后,我们需要考虑如何让我们的访问持久化。原因很简单,如果我们是通过利用漏洞进来的,对方可能察觉到痕迹然后修补漏洞,如果是通过泄漏的密码进来的,对方可能修改密码。 windows持久化 计划任务 计划任务,也可成为定时任务,指的是在指定的时间执行某项任务。 手工 创建计划任务 如:计划任务名称为zhi,1分钟后以system权限运行calc.exe schtasks /create /sc minute /mo 1 /tn zhi /tr "C:\Windows\sys
APT-Hunter是用于Windows事件日志的威胁搜寻工具,该工具能够检测隐藏在Windows事件日志中的APT运动,如果您是弄威胁情报的人,那么我保证您会喜欢使用此工具的,为什么?我将在本文中讨论原因,请注意,此工具仍为测试版,并且可能包含错误。
在日常的系统管理和维护过程中,计划任务的设置与管理显得尤为重要。Windows PowerShell 作为一款功能强大的脚本自动化工具,为IT专业人员提供了高效、灵活的任务管理方案。本文将深入浅出地介绍如何利用 PowerShell 在 Windows 环境下管理系统计划任务,并通过实例让读者更好地理解与应用。
在日常的系统维护和管理过程中,计划任务的设定与管理显示出不可忽视的重要性。它允许我们按照预定的时间或条件自动运行特定的程序或脚本,从而大大提高了系统管理的效率和准确性。Windows PowerShell,作为一款功能强大的脚本自动化工具,为我们提供了一种高效、灵活的方式来管理 Windows 系统中的计划任务。本文旨在深入解析如何利用 PowerShell 来优化我们的计划任务管理,同时也会探讨“作业”和“任务”这两个概念在计划任务管理中的应用和区别。
在 Windows 系统上,可以使用计划任务来定时执行某些操作,方便用户对系统的使用和管理,红队成员也可以利用这个特性来对系统进行持久化的控制。
在2015年的黑帽大会和DEFCON上,我曾谈过黑客会如何从域用户提权到域管理。 密码的难题 每台Windows主机有一个内置的Administrator账户以及相关联的密码。大多数组织机构为了安全,可能都会要求更改密码,虽然这种方法的效果并不尽如人意。标准的做法是利用组策略去批量设置工作站的本地Administrator密码。 但是这样又会出现另一个问题,那就是所有的电脑都会有相同的本地Administrator密码。也就是说,如果获取了一个系统的Administrator认证凭据,黑客就可以获取他们
APT-Hunter是Windows事件日志的威胁猎杀工具,它由紫色的团队思想提供检测隐藏在海量的Windows事件日志中的APT运动,以减少发现可疑活动的时间,而不需要有复杂的解决方案来解析和检测Windows事件日志中的攻击,如SIEM解决方案和日志收集器。
注:通过任务管理器查看CPU较高使用率和多个PowerShell.exe进程,能初步判断机器中了此木马,查看其计划任务有随机名,调用PwoerShell确定木马病毒存在。
自Windows Server 2008开始,GPO组策略对象开始支持计划任务,以便于管理域中的计算机和用户。利用组策略的计划任务实现命令执行,在目标不出网的情况下,可以批量帮助我们找到域内出网的机器,并且能帮助我们实现指定OU批量上线。
最近在实战过程中遇到了组策略,发现攻击面其实挺宽广的,这里记录下自己的分析和学习过程。
组策略(英语:Group Policy)是微软Windows NT家族操作系统的一个特性,它可以控制用户帐户和计算机帐户的工作环境。组策略提供了操作系统、应用程序和活动目录中用户设置的集中化管理和配置。组策略的其中一个版本名为本地组策略(缩写“LGPO”或“LocalGPO”),这可以在独立且非域的计算机上管理组策略对象。
SCHTASKS /Create [/S system [/U username [/P [password]]]]
背景:Windows计划任务调用jps.exe,达到的效果跟直接在命令行下调用不同,有时候又相同,摸不着规律
在windows中,权限大概分为四种,分别是User、Administrator、System、TrustedInstallerTrus
在红蓝对抗实战中,当我们获取到一台Windows主机的权限后,首先要做的就是怎么维持住该权限。因为防守方的实力也在不断增强,并且他们的流量监测设备也在不断监控,如果发现机器被植入木马,他们肯定会采取措施。
windows在日常的渗透中经常遇到,而在内网之前,经常会在所拿到的跳板机进行提权,这样后面横向,内网才能更好的展开(抓hash,必须得系统或管理员权限),所以这里做了一次window提权总结,建议收藏,反复看,熟能生巧!
近期,火绒监测到“LemonDuck”(柠檬鸭)蠕虫病毒感染量正在持续增加。该病毒入侵用户电脑后,会执行挖矿模块,同时还会通过多种方式在网络中进行横向传播。该病毒在2019年被首次发现,至今依然在不断扩大其影响范围。火绒安全软件(个人版、企业版)可查杀该病毒。
PowerShell在过去的几年里在Offensive安全社区被广泛使用。但随着防御性安全行业的推进,正致使攻击性工具包从PowerShell迁移到反射C#以逃避现代安全产品的检测。其中一些改进包括脚本块记录,反恶意软件脚本接口(AMSI)以及第三方安全供应商针对恶意PowerShell活动签名的开发。目前已发布了多个C#工具包,如Seatbelt,SharpUp和SharpView,用以攻击生命周期各个阶段的任务。而在攻击生命周期中缺少C#工具包的一个阶段就是持久性。为此,FireEye Mandiant的红队创建了名为SharPersist的新Windows持久性工具包。
Windows系统被入侵后,通常会导致系统资源占用过高、异常端口和进程、可疑的账号或文件等,给业务系统带来不稳定等诸多问题。一些病毒木马会随着计算机启动而启动并获取一定的控制权,启动方式多种多样,比如注册表、服务、计划任务等,这些都是需要重点排查的地方。另外,需要重点关注服务器日志信息,并从里面挖掘有价值的信息。
Red Canary近期公布了《2021 Threat Detection Report》,该报告涵盖了众多顶级网络攻击技术到MITER ATT&CK框架的映射。其中,就2020年黑客首选10大Windows网络攻击技术进行了调研。
学过徐老师《内网安全攻防:渗透测试实战指南》第五章的⼩伙伴都知道,巨硬为了防⽌密码在内存中以明⽂形式泄露,发布了KB2871997补丁,⽤来关闭Win7和08的Wdigest功能,同时Server2012版以上默认关闭该功能,但是仍然可以通过修改注册表的⽅法来⼿动开启。
现象:Administrator登录的时候“黑屏”、"蓝屏",需要Ctrl+Alt+Del调出任务管理器点运行新任务explorer才能正常显示图标
如果应急响应过程中允许,使用杀毒程序进行全盘杀毒肯定非常有帮助的,目前很多企业都有自己的终端管控程序,其中部分自带病毒库和杀毒功能,如果允许可以考虑异构排查
Agent Tesla 最近一次的攻击部署在 RTF 文件里使用了多个 OLE 对象构建了复杂的感染链,虽然不是新技术手段,但在野利用仍然十分有效。
---------------手动分割线--------------- 使用上面的方法若无权限问题可无碍运行,然在某些做了安全设置的情况下貌似有点走不通,故有了下面的版本
schtasks.exe /CREATE /ru system /rl highest /SC DAILY /MO 1 /TN restart_rdp_service /TR "powershell.exe -c '& {restart-service termservice -force}'" /ST 02:00 /RI 120 /DU 24:00 /f
写在前面的话 其实很早之前,攻击者就已经开始使用合法工具来渗透目标网络并实现横向攻击了。理由很简单:使用合法工具可以降低被检测到的几率,而且进过授权的工具(而并非恶意工具)可以更容易绕过安全防护机制。
据BleepingComputer网站6月15日消息,一个被称为“Blue Mockingbird”的攻击者利用 Telerik UI 漏洞来破坏服务器,安装 Cobalt Strike 信标,并通过劫持系统资源来挖掘 Monero。 攻击者利用的漏洞是CVE-2019-18935,这是一个严重的反序列化漏洞,CVSS v3.1评分高达9.8,可导致在 Telerik UI 库中远程执行ASP.NET AJAX 的代码。 在2020年5月,Blue Mockingbird就曾使用同样的手法攻击Microso
在应急响应的过程中,客户反馈防火墙AF报告客户服务器僵尸网络警告,服务器试图解析恶意域名msupdate.info。于是客户使用360,火绒剑等杀毒软件均没有发现异常现象。于是求助我,遂有此文章。
正确的办法应该是提权后执行命令,完整的powershell命令如下(我提前把AdvancedRun.exe放到C:\Windows\了),提权参考我的这篇文档:https://cloud.tencent.com/developer/article/2285183
在“开始菜单”->“运行”中输入gpedit.msc打开组策略编辑器,在左边导航栏中选择“计算机配置”->“windows设置”->“脚本(启动/关机)”,双击其右边的“启动”选项,打开“启动属性”窗口:
上一篇文章讲解了Powershell通过交互环境运行命令的相关知识,今天给大家介绍实际工作当中使用最频繁的方式——通过脚本运行,简单来说就是和咱们实际编写代码一样,先编写代码,然后通过开发工具执行。同样的为了实现PowerShell脚本的保存、方面在别的服务器迁移,一般都是先编写脚本,然后通过脚本文件执行完成相应的运维任务。
借鉴https://blog.csdn.net/weixin_43673589/article/details/109144725
xHunt活动从2018年7月份一直活跃至今,这个组织的主要目标针对的是科威特政府和航运运输组织。近期研究人员发现,xHunt的攻击者又攻击了科威特一家机构的Microsoft Exchange服务器。虽然我们无法确认攻击者是如何入侵这台Exchange服务器的,但是根据此次事件相关的计划任务创建时间戳,我们发现攻击者早在2019年8月22日之前就已经能够访问这台Exchange服务器了。在此活动中,攻击者使用了两个后门,一个是TriFive,另一个是Snugy的变种版本(这是一个Web Shell,我们称之为BumbleBee)。
假使我们在windows上拿到目标的shell,为了方便模拟就上线了一个cs的shell
在内网渗透中,当攻击者获取到内网某台机器的控制权后,会以被攻陷的主机为跳板,通过收集域内凭证等各种方法,访问域内其他机器,进一步扩大资产范围。通过此类手段,攻击者最终可能获得域控制器的访问权限,甚至完全控制基于Windows操作系统的整个内网环境,控制域环境下的全部机器。
专注是做事成功的关键,是健康心灵的特质。当你与所关注的事物融为一体时,就不会让自己萦绕于焦虑之中。专注与放松,是同一枚硬币的两面而已。一个人对一件事只有专注投入才会带来乐趣。一旦你专注投入进去,它立刻就变得活生生起来。
设置开机计划任务1分钟校时的原因是开机后第1次校时有时候要等若干分钟,校时成功后才会走公共镜像默认的ntp 5分钟校时,设置开机计划任务就是为了让开机后快速校时,不用等若干分钟(等若干分钟的原因见微软官网文档https://docs.microsoft.com/en-us/troubleshoot/windows-client/identity/w32time-not-start-on-workgroup )
PS:以下数据已经脱敏,聊天记录不会截图,只分享经验和思路,这是一次条件极为有限的排查。 0x01 确认到手情报 首先来看一下,同事手上有啥情报。
完整的powershell提权命令如下(我提前把AdvancedRun.exe放到C:\Windows\了),提权参考我的这篇文档:https://cloud.tencent.com/developer/article/2285183
现在被Fireeye命名为APT32(OceanLotus海莲花组织)的网络间谍行动,正在对横跨多个行业的私人企业和外国政府,异议人士和记者进行入侵。Fireeye评估APT32利用独特且功能全面的恶意软件套件与商业渗透工具相结合。开展符合对越南国家利益的有针对性的行动。 广告时间:APT32和Fireeye的社区响应 FireEye的Mandiant事件响应顾问对在越南有商业利益的几家公司进行入侵调查的过程中,发现了入侵活动,并且攻击者控制的基础设施指示了一个重要的入侵活动。2017年3月,为响应Fir
思路:通过配置自动登录和开机计划任务调用startup目录的可执行脚本来自动挂cfs
领取专属 10元无门槛券
手把手带您无忧上云