一些內網滲透中用到的方式:
IPC$登錄以及文件的上傳與下載
命令執行
原文出處:https://xz.aliyun.com/t/2319
波波觀點:排程任務是攻防雙方都要熟悉的線索
Windows 計劃任務在內網滲透中常被用於遠端命令執行、定時執行、持久化與橫向移動。它本身是合法管理功能,因此攻擊者可以混在正常維運行為中。防禦端若只看是否有排程任務存在,通常不夠,還需要看建立者、執行路徑、觸發時間、命令內容與主機關聯。
滲透測試中的觀察重點
- 任務建立:誰建立、何時建立、在哪台主機建立。
- 執行內容:是否呼叫 PowerShell、cmd、wscript、rundll32 或可疑路徑。
- 橫向行為:是否搭配 IPC$、SMB、管理員權限與遠端服務。
- 持久化:是否設定開機、登入、定時或事件觸發。
防禦與排查建議
Blue Team 可以監控排程任務建立事件、可疑命令列、非標準目錄執行檔與短時間多主機建立任務的行為。事件應變時,建議匯出排程任務清單,比對建立時間與入侵時間線,並檢查任務執行的檔案是否仍存在、是否有外連或憑證操作痕跡。






![[漏洞預警]NagiosXI 全版本遠端程式碼執行-波波的寂寞世界](https://lonelysec.com/wp-content/uploads/2019/04/nagios-220x150.png)
![[ 隨機福利 ] 紅隊實戰演練環境 下載-波波的寂寞世界](https://lonelysec.com/wp-content/uploads/2019/04/red-team-3-220x150.png)
![紅隊實戰演練環境 下載 [ 單域環境 ]-波波的寂寞世界](https://lonelysec.com/wp-content/uploads/2019/04/red-team-2-220x150.png)





