摘要:记录一下windows下常用渗透手法

计划任务

前情提要

Windows7 上运行SCHTASKS /Query会报错,提示“无法加载列资源”,需要在命令行中运行chcp 437命令修改编码。参考:SCHTASKS /Query显示错误:无法加载列资源

如果以远程的方式在Windows7上创建定时任务,Windows7 组策略需要进行修改,不然会提示拒绝访问。参考:SCHTASKS /RUN 提示拒绝访问解决措施

常用命令

创建定时任务

最好不好指定/ru。比如你指定的/ru是Administrator,但是用户登录电脑的账号是admin1,这个时候这个计划任务永远不会被触发。

//在10.10.10.18电脑上上创建一个计划任务,开始日期为21:13:00,每一分钟执行一次calc.exe。
//Administrator是redteam.red域的域管理员
schtasks /CREATE /ru Administrator /S \\10.10.10.18 /U redteam/Administrator /P password /SC MINUTE /MO 1 /ST 21:13:00 /TN "test" /tr "C:\Windows\System32\calc.exe" /RL HIGHEST /F


//在10.10.10.18电脑上创建一个计划任务,开始日期为21:13:00,每一分钟执行一次calc.exe
schtasks /CREATE /ru Administrator /S \\10.10.10.18 /U Administrator /P password /SC MINUTE /MO 1 /ST 21:13:00 /TN "test" /tr "C:\Windows\System32\calc.exe" /RL HIGHEST /F

//在本地电脑上创建一个计划任务,开始日期为21:13:00,每一分钟执行一次calc.exe
//没有指定RU,默认以当前创建计划任务的用户执行计划任务
schtasks /CREATE /SC MINUTE /MO 1 /ST 21:13:00 /TN "test" /tr "C:\Windows\System32\calc.exe" /RL HIGHEST /F


//在本地电脑上创建一个计划任务,开始日期为21:13:00,每一分钟执行一次calc.exe
schtasks /CREATE /ru Administrator /SC MINUTE /MO 1 /ST 21:13:00 /TN "test" /tr "C:\Windows\System32\calc.exe" /RL HIGHEST /F


// 立即执行名叫"test"的计划任务
schtasks /Run /S \\10.10.10.18 /U Administrator /P password /TN "test"

参数说明:

/ru 是 "Run As User" 的缩写。此参数指定了运行该任务所使用的用户账户。在这里,它被设置为 Administrator,意味着Administrator用户登录电脑后,任务将以本地管理员账户的身份和权限来执行。注意只有 Run As User 指定的用户登录电脑后,该计划程序才会运行
/S 指定远程电脑,/U为具有管理员权限的账号,/P为账号的密码。
/SC 是 "Schedule" 的缩写。 MINUTE 表示这是一个按分钟重复的计划。
/MO 是 "Modifier" 的缩写,用于修饰 /SC 参数。当 /SC 为 MINUTE 时,/MO 1 指定了重复的间隔,即每 1 分钟执行一次。如果设置为/MO 15,则表示每15分钟执行一次。
/ST 是 "Start Time" 的缩写。00:00:00 定义了计划任务开始运行的时间,格式为 HH:MM:SS。00:00:00 表示该计划将在午夜准时开始
/TN 是 "Task Name" 的缩写。此参数为新创建的计划任务指定一个唯一的名称。
/RL 是 "Run Level" 的缩写。HIGHEST 表示任务将以当前用户(即/ru指定的Administrator)可用的最高权限来运行。
/F 是 "Force" 的缩写。如果系统中已存在一个与 /TN 参数指定名称相同的计划任务,/F 会让命令强制覆盖这个已存在的任务,而不会显示警告或错误信息。

查询定时任务

// 查询10.10.10.18电脑上名称为"test"的定时计划任务
SCHTASKS /Query /S \\10.10.10.18 /U redteam/Administrator /P Admin123456@ /TN "test"

// 列出10.10.10.18电脑上的所有定时计划任务
SCHTASKS /Query /FO LIST /V /S \\10.10.10.18 /U Administrator /P Admin12345

删除定时任务

// 删除10.10.10.18电脑上名称为"test"的定时计划任务
// 必须要加"/F"选项,不然会让你确认是否删除
SCHTASKS /Delete /S \\10.10.10.18 /U redteam/Administrator /P password /TN "test" /F

// 删除10.10.10.18电脑上名称为"test"的定时计划任务
// 必须要加"/F"选项,不然会让你确认是否删除
SCHTASKS /Delete /S \\10.10.10.18 /U Administrator /P password /TN "test" /F
文章目录