利用计划任务劫持提升权限

计划任务是windows系统中常见的功能，使用计划任务可以帮助运维人员或者开发人员在指定时间或指定的时间间隔内运行所指定的计算机程序、脚本或系统命令，在Windows与Linux中都有计划任务功能。如果某项计划任务由SYSTEM权限运行，但对应的执行文件、脚本存放在一个低权限用户可操作的目录中，则可能导致提权漏洞。

1.Windows计划任务如何使用

在Win8之前我们可以使用at命令来帮助创建与执行计划任务，在终端中输入命令at 10:01 notepad.exe，则可以创建一个在时间到达10:01时自动打开notepad.exe的计划任务，命令执行结果如图1-1所示。

图1-1 使用AT创建计划任务

而在Win8之后at命令被取消，取而代之的是schtasks命令，schtasks命令相较于at命令拥有更细化的配置选项，schtasks使计划任务的配置变得高度自由化，使用命令schtasks /Create /TN test /SC DAILY /ST 10:01 /TR notepad.exe创建一个在10:01时运行notepad.exe的计划任务，而在这条命令中/Create参数代表创建计划任务，/TN参数则用来设置所创建计划任务的名称，/SC参数用来设置计划任务的运行频率，/ST参数用来设置具体事件，/TR参数用来设置要进行的动作，参数值参考表1-1与表1-2，命令执行结果如图1-2所示。

图1-2 使用schtasks创建计划任务

表1-1 值参考表

表1-2 参数的含义

创建计划任务之后，schtasks会在C:\Windows\System32\Tasks目录下生成一个刚刚所创建计划任务对应的配置文件，如图1-3所示，而生成的文件名称将会使用/TN所设置的计划任务名称，计划任务会使用xml格式来保存，具体内容如图1-4所示。

图1-3 计划任务存储目录

图1-4 计划任务具体内容

从图1-4可以看到<RunLevel>配置项，该配置项的值主要用于设置在运行计划任务时所使用的权限，该配置项中可以设置的权限主要分为两种：LeastPrivilege代表最低权限；HighestAvailable代表最高权限。如果想要将计划任务的运行权限指定为HighestAvailable，我们可以使用命令schtasks /Create /TN test /SC DAILY /ST 10:01 /TR notepad.exe /RL HIGHEST，其中/RL参数用来设置计划任务运行级别，当参数值指定为HIGHEST时，该计划任务将以高权限运行。

2.利用过程

而问题出现于/TR参数中，如果计划任务使用高权限运行，而/TR参数指定了一个可执行文件，而被指定的可执行文件存放于一个低权限目录，利用该错误配置可实现权限提升，如图4-21所示，可以看到/TR参数所指定的执行文件为C:/Temp/ssl.exe，使用Windows自带的权限检查工具icacls检查C:/Temp/ssl.exe文件的权限，使用命令icacls "C:/Temp/ssl.exe"，执行结果如图1-5所示。

图1-5 权限设置

图1-6 icacls检查文件权限

从图1-6中可以看出admin用户均对该文件具有完全控制权，而我们当前会话就是admin用户，于是使用Metasploit生成一个攻击机回连程序并将程序名设置为ssl.exe，生成完成后将该文件替换掉原有的C:/temp/ssl.exe，替换后随着计划任务的运行，使用Metasploit生成的攻击机回连程序也将会被运行，如图1-7我们将得到一个SYSTEM权限的回连会话。

图1-7 获取SYSTEM权限会话

我正在参与2024腾讯技术创作特训营第五期有奖征文，快来和我瓜分大奖！