终端安全-计划任务详解

渗透技巧 1年前 (2023) admin
297 0 0

终端安全-计划任务详解

终端安全-计划任务详解

终端安全-计划任务详解

终端安全-计划任务详解
目录

○ 简单介绍

○ 计划任务的结构

○ 与计划任务相关的DLL

    ◇ taskschd.dll

    ◇ taskcomp.dll

○ 任务计划程序服务分析

○ 新建计划任务

    ◇ 使用 schtasks.exe 命令

    ◇ 使用Powershell的cmdlet

    ◇ 使用COM接口

    ◇ 使用.NET Framework 中的相关类

    ◇ 使用WMI

    ◇ 使用Windows API

○ 后记

○ 声明

关注 天虞实验室 官方微信公众号,发送“终端安全”获得本文隐藏干货内容~


简单介绍

终端安全-计划任务详解

NO.1

任务计划程序服务(Task Scheduler service)是Windows操作系统中的一个核心服务,它负责管理和执行计划任务。任务计划程序服务在后台运行,并由 svchost.exe 进程来托管。


任务计划程序服务允许用户创建、编辑和删除计划任务。用户可以通过图形用户界面(Task Scheduler GUI)、命令行工具(如schtasks)或编程接口来管理计划任务,用于在预定的时间或特定事件发生时自动执行一系列任务。


通过Windows计划任务,用户可以:

    1.定时运行程序:在指定的日期和时间,自动运行特定的应用程序、脚本或命令行工具。


    2.自动化系统维护:例如,定期清理临时文件、备份数据,或者运行磁盘碎片整理等系统维护任务。


    3.周期性任务:创建周期性任务,比如每天、每周或每月重复执行的操作。


    4.响应触发事件:根据特定的系统事件(例如用户登录、系统启动等)来触发执行任务。


    5.管理远程计算机:通过计划任务可以在网络上管理和运行远程计算机上的任务。


Windows计划任务提供了一个用户友好的界面,使用户能够轻松创建、编辑和管理这些计划任务。


用户可以设置任务的触发条件、执行操作、设置任务的运行时期、安全选项等,可以通过Win + R键,打开运行对话框,输入”taskschd.msc”,然后点击”确定”,即可打开”任务计划程序”。在该应用程序中,可以创建、编辑和管理计划任务。


计划任务的结构

终端安全-计划任务详解

NO.2

在Windows计划任务中,任务是通过一种层级结构进行组织和管理的。这个层级结构允许你将任务分组,使任务管理更加有条理和灵活。计划任务的层级结构包含以下几个层级:


1.根目录(Root Folder):

    o根目录是整个计划任务层级结构的最上层,是所有其他文件夹和计划任务的父级。

    o在任务计划程序的左侧任务树中,你会看到一个名为“Task Scheduler Library”(任务计划程序库)的根目录。


2.自定义文件夹(Custom Folders):

    o在根目录下,你可以创建自定义文件夹,用于组织和分类计划任务。这些文件夹可以根据你的需要创建,并可以任意命名。

    o自定义文件夹可以帮助你将相关的任务组合在一起,使管理更加方便。


3.计划任务(Scheduled Tasks):

    o在自定义文件夹中,你可以创建计划任务,即具体的任务执行实例。每个计划任务包含了触发器、操作、条件、设置和4.安全性选项等任务的详细配置信息。

    o一个自定义文件夹可以包含一个或多个计划任务。


任务的结构在Windows计划任务中通常包含以下主要部分:

1.任务定义(Task Definition):

    o任务名称:每个计划任务都有一个唯一的名称,用于标识任务。

    o描述:对任务的简短描述,说明任务的目的和功能。

    o作者:任务的创建者或拥有者。

    o安全选项:指定任务的安全设置,包括哪些用户可以运行任务以及任务需要哪些特定权限。


2.触发器(Triggers):

    o触发器类型:Windows支持多种触发器类型,包括时间触发器、日程触发器、登录触发器、系统启动触发器、特定事件触发器等。

    o触发器设置:根据不同类型的触发器,你可以设置触发任务的具体条件。例如,时间触发器可以指定在某个日期和时间执行任务,日程触发器可以指定每天、每周的哪些日期执行任务,特定事件触发器可以指定在某个特定事件发生时执行任务等。


3.操作(Actions):

    o操作类型:你可以指定任务执行时要运行的操作类型,可以是一个程序、脚本或命令行工具。

    o操作设置:根据操作类型,你可以指定要运行的可执行文件或脚本文件的路径,以及传递给该程序的参数。


4.条件(Conditions):

    o开始条件:你可以设置任务只有在满足一定条件时才开始执行。例如,任务可能需要在计算机空闲时执行,或者仅当计算机处于特定电源状态(如电源插入或电池供电)时才执行。

    o停止条件:你可以指定任务在满足一定条件时停止执行。例如,任务可能会在任务开始后的一段时间内停止,或者在某个特定的事件发生后停止。


5.设置(Settings):

    o允许任务在不登录用户的情况下运行:如果选中此选项,任务可以在没有用户登录的情况下运行。

    o运行任务时是否停止所有实例:如果任务已经在运行,你可以选择启动一个新的实例时是否停止已有的任务。

    o如果任务运行时间超过,停止任务:你可以设置任务的最大运行时间,并在超过该时间时停止任务的执行。


可以通过任务计划程序(如图所示)查看Windows计划任务的结构,在左侧面板,你会看到任务树,其中列出了计划任务的层级结构,在右侧面板,你会看到任务列表,其中显示了所选文件夹或计划任务的详细信息。这包括任务的名称、描述、状态以及下一次触发的时间等信息,同时在右边可以新建计划任务等等操作,这里不作讨论。


终端安全-计划任务详解


与计划任务相关的DLL

终端安全-计划任务详解

NO.3

“taskschd.dll”和“taskcomp.dll”都是Windows 任务计划程序服务使用的动态链接库(DLL)。


taskschd.dll

taskschd.dll 是任务计划程序的主要 DLL,它提供了在 Windows 中管理计划任务的核心功能和接口。它包含各种函数和接口,应用程序可以使用这些函数和接口来编程与任务计划程序服务进行交互。以下是一些 taskschd.dll 支持的主要 API:

1.ITaskScheduler 接口:用于创建和管理计划任务。主要包括以下方法:

    oNewWorkItem: 创建一个新的计划任务。

    oAddWorkItem: 将计划任务添加到计划任务文件夹中。

    oDelete: 删除指定的计划任务。

    oSetTargetComputer: 设置计划任务所属的目标计算机。

    oIsOfType: 检查计划任务的类型。


2.ITask 接口:用于操作计划任务的属性和状态。主要包括以下方法:

    oActivate: 激活计划任务。

    oGetApplicationName: 获取计划任务的应用程序名称。

    oSetApplicationName: 设置计划任务的应用程序名称。

    oGetParameters: 获取计划任务的参数。

    oSetParameters: 设置计划任务的参数。


3.IRegisteredTask 接口:用于操作已注册的计划任务。主要包括以下方法:

    oGetName: 获取计划任务的名称。

    oGetPath: 获取计划任务的完整路径。

    oGetState: 获取计划任务的状态。

    oGetRunTimes: 获取计划任务的运行时间。


4.ITaskFolder 接口:用于操作计划任务文件夹。主要包括以下方法:

    oGetTask: 获取文件夹中指定名称的计划任务。

    oCreateFolder: 在当前文件夹中创建一个新的子文件夹。

    oDeleteFolder: 删除文件夹。

    oMoveTaskHere: 将计划任务从另一个文件夹移动到当前文件夹。


taskcomp.dll

    o文件名:taskcomp.dll

    o描述:taskcomp.dll 是任务计划程序 COM API DLL。

    o作用:它提供了用于与任务计划程序服务进行交互的 COM (Component Object Model) 接口。它允许应用程序使用基于 COM 的编程来安排、修改或管理任务。


taskcomp.dll 是计划任务组件的 DLL 文件,它是 taskschd.dll 的辅助 DLL,用于支持任务计划程序的某些功能。taskcomp.dll 主要包含以下 API:

1.ITaskHandler 接口:用于定义计划任务的处理程序。任务计划程序可以通过注册处理程序来执行自定义操作。主要包括以下方法:

    oStart: 启动计划任务的执行。

    oStop: 停止计划任务的执行。

    oPause: 暂停计划任务的执行。

    oResume: 恢复计划任务的执行。


2.ITaskHandlerStatus 接口:用于获取计划任务处理程序的状态信息。主要包括以下方法:

    oUpdateStatus: 更新计划任务处理程序的状态信息。


3.ITaskHandlerConsole 接口:用于与计划任务处理程序交互的控制台界面。主要包括以下方法:

    oTaskHandlerCallback: 处理计划任务处理程序发送的回调消息。


4.ITaskScheduler 接口:与 taskschd.dll 中的 ITaskScheduler 接口相同,用于创建和管理计划任务。主要包括以下方法:

    oNewWorkItem: 创建一个新的计划任务。

    oAddWorkItem: 将计划任务添加到计划任务文件夹中。

    oDelete: 删除指定的计划任务。

    oSetTargetComputer: 设置计划任务所属的目标计算机。

    oIsOfType: 检查计划任务的类型。


taskcomp.dll 主要用于支持计划任务处理程序的执行和交互,使开发者能够为计划任务定义自定义的执行逻辑,并与处理程序进行交互。


总结一下,taskschd.dll 负责提供任务计划程序的核心功能,而 taskcomp.dll 则通过 COM 接口暴露任务计划程序服务,使应用程序可以通过基于 COM 的编程与任务计划程序进行交互。


任务计划程序服务分析

终端安全-计划任务详解

NO.4

在进程中我们可以很明显定位到任务计划程序服务(Task Scheduler service)的主进程;


终端安全-计划任务详解


获取对应的PID使用Process Moniter进行监视运行,可以看到新建的计划任务会读取注册表,计算机HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows


NTCurrentVersionScheduleTaskCache 是Windows操作系统中存储计划任务信息的一部分注册表路径。在这个路径下,Windows保存了计划任务的一些配置信息,但并非所有计划任务的完整设置,而是一些缓存和元数据信息。


终端安全-计划任务详解


该注册表路径下的主要子项如下:

1.Tasks:包含计划任务的配置信息。每个计划任务都有一个唯一的GUID(全局唯一标识符)作为其子项,这些GUID是任务的唯一标识符。在每个GUID子项下,保存了任务的详细配置信息,包括任务的触发器、操作和设置。


2.Boot:包含系统启动时执行的计划任务的缓存信息。


3.Logon:包含用户登录时执行的计划任务的缓存信息。


4.Maintenance:包含系统维护任务的缓存信息。


5.Cache:包含计划任务的缓存信息。


6.Maintenance Config Cache:包含系统维护任务的配置缓存信息。


7.Plain Cache:包含计划任务的缓存信息。


8.RAC:包含计划任务相关的RAC(Run Once Registration)信息。


9.Retries:包含计划任务的重试信息。


10.Tasks{Task GUID}Instances:每个计划任务的子项下有一个Instances子项,该子项包含任务的实例,即任务按照触发器条件多次执行的不同实例。


11.Tasks{Task GUID}LogonTriggerDelay:该子项包含计划任务的登录触发器延迟信息。


终端安全-计划任务详解


往下可以看到新建了一个文件夹,并新建了一个与我们同名的文件,打开为一个XML文件,可以知道计划任务的详细配置信息是保存在C:WindowsSystem32Tasks[计划任务名]XML文件中的,而不是直接保存在注册表中。


终端安全-计划任务详解


在这个文件夹中,每个计划任务都有一个对应的XML文件,保存了包含计划任务的触发器、操作、条件、设置等信息。任务的完整配置。


终端安全-计划任务详解


可以使用隐藏内容中的Powershell脚本来解析计划任务的 XML 配置文件。


在CMD中可以使用schtasks /query 命令获取计划任务的信息,schtasks /query /xml 指定 /xml 参数可以以XML格式列出计划任务的配置信息,包括任务的详细设置和触发器。


终端安全-计划任务详解


在Powershell中可以通过Get-ScheduledTask cmdlet 来获取计划任务详细信息。


终端安全-计划任务详解


新建计划任务

终端安全-计划任务详解

NO.5

新建计划任务的方法有多种,包括使用图形用户界面 (GUI) 工具、使用 PowerShell 命令以及使用系统自带的命令行工具。但是我们想要做的的是怎么样绕过终端安全进行写计划任务进行权限维持。


使用 schtasks.exe 命令


方法一:使用 schtasks.exe 命令来创建计划任务。

终端安全-计划任务详解


但是如果是在存在签名的Chrome进行写计划任务360是没有拦截的,基本可以判断360对使用schtasks 添加计划任务的拦截是判断添加计划任务的主体是否可信任。


终端安全-计划任务详解


使用Powershell的cmdlet


在管理员权限下使用Powershell Register-ScheduledTask cmdlet来创建计划任务。

终端安全-计划任务详解


使用 New-ScheduledTask cmdlet 来创建计划任务。在高权限下同样没有拦截。

步骤:

# 创建计划任务的触发器

# 重复持续时间设置为 1 天

# 创建计划任务的操作

# 创建计划任务对象

# 注册计划任务并指定任务名称


终端安全-计划任务详解


使用COM接口


但是Register-ScheduledTask和New-ScheduledTask创建计划任务都需要Administrator权限,通用性不太好,那么我们可以通过WMI和COM进行创建计划任务,在 Windows 系统中,用于创建计划任务的 COM 接口主要有两个:


1.Task Scheduler Scripting Object Model (TaskScheduler):

    o命名空间:Schedule.Service

    o接口:IRegisteredTask、ITaskFolder

    o用途:用于创建、修改和删除计划任务。


2.Task Scheduler 1.0 Object Library (TaskScheduler):

    o命名空间:Schedule.TaskScheduler

    o接口:ITask, ITaskTrigger, ITaskAction, ITaskSettings

    o用途:用于创建、修改和删除计划任务。注意:Task Scheduler 1.0     object Library 是较旧的 COM 接口,它在 Windows 7 及更早的系统版本中使用较多,较新的系统版本可能更推荐使用 Task Scheduler Scripting Object Model。


例如使用 “Task Scheduler Scripting Object Model” 接口:

步骤:

# 创建计划任务的操作

# 创建计划任务的触发器

# 获取计划任务服务

# 创建计划任务对象

# 运行计划任务


终端安全-计划任务详解


其他可以用来创建计划任务的接口还有:

1.Task Scheduler Scripting Object Model (TaskScheduler): 这是用于创建计划任务的主要 COM 接口,支持创建、修改和删除计划任务。


2.Task Scheduler 1.0 Type Library (TaskScheduler 1.0): 旧版本的任务计划程序接口,提供创建计划任务的功能。


3.Task Scheduler 2.0 Interfaces (TaskScheduler 2.0): 新版本的任务计划程序接口,是 Task Scheduler Scripting Object Model 的改进版本,提供更多功能和灵活性。


4.ITaskScheduler (ITaskScheduler): 这是旧版任务计划程序的接口,用于创建和管理计划任务。


5.ITaskService (ITaskService): 这是新版任务计划程序的接口,允许创建、修改和删除计划任务。


6.ITaskFolder (ITaskFolder): 用于创建和管理任务计划程序文件夹的接口。


7.ITaskSettings (ITaskSettings): 用于设置计划任务属性的接口,例如执行条件、重复间隔等。


8.IAction (IAction): 用于创建和管理计划任务操作的接口,例如运行程序、发送电子邮件等。


9.IActionCollection (IActionCollection): 用于管理计划任务操作集合的接口,支持添加、删除和修改操作。


10.ITaskTrigger (ITaskTrigger): 用于创建和管理计划任务触发器的接口,例如启动计划任务的时间、事件等。


11.IPrincipal (IPrincipal): 用于设置计划任务的安全主体的接口,例如运行计划任务的用户和权限。


12.ITaskHandler (ITaskHandler): 用于实现自定义计划任务处理程序的接口,允许使用自定义程序来处理计划任务。


13.ITaskNamedValueCollection (ITaskNamedValueCollection): 用于管理计划任务的自定义属性的接口。


14.ITaskService (ITaskService): 用于管理计划任务的服务接口,可以创建、删除、运行和停止计划任务。


15.IRegisteredTask (IRegisteredTask): 用于表示已注册的计划任务的接口,可以获取和设置计划任务的属性。


16.ITaskFolder (ITaskFolder): 用于管理计划任务文件夹的接口,可以创建和删除文件夹,以及获取文件夹中的计划任务列表。


17.ITaskSettings (ITaskSettings): 用于管理计划任务的设置的接口,例如是否允许在电池供电时运行、是否允许在计算机空闲时运行等。


18.IIdleSettings (IIdleSettings): 用于管理计划任务在计算机空闲时运行的设置的接口,例如计划任务的空闲超时时间等。


使用.NET Framework 中的相关类


Microsoft.Win32.TaskScheduler 命名空间是 .NET Framework 中提供的用于操作计划任务的命名空间。它位于 TaskScheduler.dll 程序集中,可以用于创建、修改、删除以及管理计划任务。


以下是一些常用的类和接口在 Microsoft.Win32.TaskScheduler 命名空间中:

1.TaskService: 代表计划任务服务,用于连接到计划任务服务,创建和管理计划任务。


2.TaskDefinition: 代表计划任务定义,用于设置计划任务的各种属性,如触发器、动作、安全选项等。


3.Trigger: 代表计划任务的触发器,用于设置计划任务的触发条件,例如时间触发器、日程触发器等。


4.Action: 代表计划任务的动作,用于设置计划任务要执行的操作,如运行程序、调用 PowerShell 脚本等。


5.ExecAction: 是 Action 类的一个特定实现,用于设置运行程序的动作。


6.TimeTrigger: 是 Trigger 类的一个特定实现,用于设置时间触发器的属性。


例如可以使用使用 TaskScheduler 类库来创建和管理计划任务:


1.引用 Microsoft.Win32.TaskScheduler 程序集,在 Visual Studio 中通过 NuGet 包管理器安装此程序集,或者手动将它添加到项目的引用中。


终端安全-计划任务详解


2.使用Microsoft.Win32.TaskScheduler程序集中的TaskService类和TaskDefinition类来创建计划任务。


终端安全-计划任务详解


使用WMI


使用 WMI (Windows Management Instrumentation) 来创建计划任务需要调用 Win32_ScheduledJob 类。但是,请注意在 Windows 10 和较新的 Windows 版本中,Win32_ScheduledJob 类已被弃用,并且不再推荐使用,这里不再讨论。

使用Windows API


直接使用Windows API来创建计划任务,而无需依赖外部库或COM接口,这里的方法是调用TaskCreate“taskschd.dll”库中的方法来创建一个新任务。

后记

终端安全-计划任务详解

NO.6

通过任何方法添加计划任务时,实际上是将任务的配置信息添加到操作系统的计划任务服务中。这些配置信息包括任务的名称、触发器(例如时间触发器或事件触发器)、执行操作(例如运行程序或执行脚本)、重复规则等。


声明

终端安全-计划任务详解

NO.7

本文作者:李木

本文编辑:Yusa

感谢 李木 师傅 (๑•̀ㅂ•́)و✧



往期回顾


终端安全-计划任务详解

ciscn国赛华东北分区赛WriteUp分享

终端安全-计划任务详解

逆向工程技术-检测开源库及其功能

终端安全-计划任务详解

ciscn国赛华东南分区赛PWN方向WriteUp分享


终端安全-计划任务详解
终端安全-计划任务详解

扫码关注我们


天虞实验室为赛宁网安旗下专业技术团队,重点攻关公司业务相关信息安全前沿技术。

原文始发于微信公众号(天虞实验室):终端安全-计划任务详解

版权声明:admin 发表于 2023年8月3日 下午5:58。
转载请注明:终端安全-计划任务详解 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...