文章作者:zzzEVAzzz <[email protected]>
為使文中涉及的代碼整潔,將使用論壇的PHP標簽處理。(沒有VBS標簽,code標簽不好用,郁悶)
如果轉載本文,請注意做相應調整。
【目錄】
1,前言
2,回顧WSH對象
3,WMI服務
4,腳本也有GUI
5,反查殺
6,來做個后門
7,結語
8,參考資料
【前言】
本文講述一些Windows腳本編程的知識和技巧。這里的Windows腳本是指"Windows Script Host"(WSH Windows腳本宿主),而不是HTML或ASP中的腳本。前者由Wscript或Cscript解釋,后兩者分別由IE和IIS負責解釋。描述的語言是VBScript。本文假設讀者有一定的Windows腳本編程的基礎。如果你對此還不了解,請先學習《Windows腳本技術》[1]。
【回顧WSH對象】
得益于com技術的支持,WSH能提供比批處理(.bat)更強大的功能。說白了,wsh不過是調用現成的“控件”作為一個對象,用對象的屬性和方法實現目的。
常用的對象有:
WScript
Windows腳本宿主對象模型的根對象,要使用WSH自然離不開它。它提供多個子對象,比如WScript.Arguments和WScript.Shell。前者提供對整個命令行參數集的訪問,后者可以運行程序、操縱注冊表內容、創建快捷方式或訪問系統文件夾。
Scripting.FileSystemObject
主要為IIS設計的對象,訪問文件系統。這個恐怕是大家遇到最多的對象了,因為幾乎所有的Windows腳本病毒都要通過它復制自己感染別人。
ADODB.Stream
ActiveX Data Objects數據庫的子對象,提供流方式訪問文件的功能。這雖然屬于數據庫的一部分,但感謝微軟,ADO是系統自帶的。
Microsoft.XMLHTTP
為支持XML而設計的對象,通過http協議訪問網絡。常用于跨站腳本執行漏洞和SQL injection。
還有很多不常見的:
活動目錄服務接口(ADSI)相關對象 ―― 功能涉及范圍很廣,主要用于Windows域管理。
InternetExplorer對象 ―― 做IE能做的各種事。
Word,Excel,Outlook對象 ―― 用來處理word文檔,excel表單和郵件。
WBEM對象 ―― WBEM即Web-Based Enterprise Management。它為管理Windows提供強大的功能支持。下一節提到的WMI服務提供該對象的接口。
很顯然,WSH可以利用的對象遠遠不止這些。本文掛一漏萬,談一些較實用的對象及其用法。
先看一個支持斷點續傳下載web資源的例子,它用到了上面說的4個常用對象。
復制代碼 代碼如下:
if (lcase(right(wscript.fullname,11))="wscript.exe") then '判斷腳本宿主的名稱'
die("Script host must be CScript.exe.") '腳本宿主不是CScript,于是就die了'
end if
if wscript.arguments.count<1 then '至少要有一個參數'
die("Usage: cscript webdl.vbs url [filename]") '麻雀雖小五臟俱全,Usage不能忘'
end if
url=wscript.arguments(0) '參數數組下標從0開始'
if url="" then die("URL can't be null.") '敢唬我,空url可不行'
if wscript.arguments.count>1 then '先判斷參數個數是否大于1'
filename=wscript.arguments(1) '再訪問第二個參數'
else '如果沒有給出文件名,就從url中獲得'
t=instrrev(url,"/") '獲得最后一個"/"的位置'
if t=0 or t=len(url) then die("Can not get filename to save.") '沒有"/"或以"/"結尾'
filename=right(url,len(url)-t) '獲得要保存的文件名'
end if
if not left(url,7)="http://" then url="http://"&url '如果粗心把“http://”忘了,加上'
set fso=wscript.createobject("Scripting.FileSystemObject") 'FSO,ASO,HTTP三個對象一個都不能少'
set aso=wscript.createobject("ADODB.Stream")
set http=wscript.createobject("Microsoft.XMLHTTP")
if fso.fileexists(filename) then '判斷要下載的文件是否已經存在'
start=fso.getfile(filename).size '存在,以當前文件大小作為開始位置'
else
start=0 '不存在,一切從零開始'
fso.createtextfile(filename).close '新建文件'
end if
wscript.stdout.write "Connectting..." '好戲剛剛開始'
current=start '當前位置即開始位置'
do
http.open "GET",url,true '這里用異步方式調用HTTP'
http.setrequestheader "Range","bytes="&start&"-"&cstr(start+20480) '斷點續傳的奧秘就在這里'
http.setrequestheader "Content-Type:","application/octet-stream"
http.send '構造完數據包就開始發送'
for i=1 to 120 '循環等待'
if http.readystate=3 then showplan() '狀態3表示開始接收數據,顯示進度'
if http.readystate=4 then exit for '狀態4表示數據接受完成'
wscript.sleep 500 '等待500ms'
next
if not http.readystate=4 then die("Timeout.") '1分鐘還沒下完20k?超時!'
if http.status>299 then die("Error: "&http.status&" "&http.statustext) '不是吧,又出錯?'
if not http.status=206 then die("Server Not Support Partial Content.") '服務器不支持斷點續傳'
aso.type=1 '數據流類型設為字節'
aso.open
aso.loadfromfile filename '打開文件'
aso.position=start '設置文件指針初始位置'
aso.write http.responsebody '寫入數據'
aso.savetofile filename,2 '覆蓋保存'
aso.close
range=http.getresponseheader("Content-Range") '獲得http頭中的"Content-Range"'
if range="" then die("Can not get range.") '沒有它就不知道下載完了沒有'
temp=mid(range,instr(range,"-")+1) 'Content-Range是類似123-456/789的樣子'
current=clng(left(temp,instr(temp,"/")-1)) '123是開始位置,456是結束位置'
total=clng(mid(temp,instr(temp,"/")+1)) '789是文件總字節數'
if total-current=1 then exit do '結束位置比總大小少1就表示傳輸完成了'
start=start+20480 '否則再下載20k'
loop while true
wscript.echo chr(13)&"Download ("&total&") Done." '下載完了,顯示總字節數'
function die(msg) '函數名來自Perl內置函數die'
wscript.echo msg '交代遺言^_^'
wscript.quit '去見馬克思了'
end function
function showplan() '顯示下載進度'
if i mod 3 = 0 then c="/" '簡單的動態效果'
if i mod 3 = 1 then c="-"
if i mod 3 = 2 then c="/"
wscript.stdout.write chr(13)&"Download ("¤t&") "&c&chr(8)'13號ASCII碼是回到行首,8號是退格'
end function
可以看到,http控件的功能是很強大的。通過對http頭的操作,很容易就實現斷點續傳。例子中只是單線程的,事實上由于http控件支持異步調用和事件,也可以實現多線程下載。在MSDN里有詳細的用法。至于斷點續傳的詳細資料,請看RFC2616。
FSO和ASO都可以訪問文件,他們有什么區別呢?其實,ASO除了在訪問字節(非文本)數據有用外,就沒有存在的必要了。如果想把例子中的ASO用FSO來實現,那么寫入http.responsebody的時候會出錯。反之也不行,ASO無法判斷文件是否存在。如果文件不存在,loadfromfile就直接出錯,沒有改正的機會。當然,可以用on error resume next語句讓腳本宿主忽略非致命錯誤,自己捕捉并處理。但有現成的fileexists()為什么不用呢?
另外,由于FSO經常被腳本病毒和ASP木馬利用,所以管理員可能會在注冊表中修改該控件的信息,使腳本無法創建FSO。其實執行一個命令regsvr32 /s scrrun.dll就恢復了。即使scrrun.dll被刪除,自己復制一個過去就行。
熱身完之后,下面我們來看一個功能強大的對象――WBEM(由WMI提供)。
【WMI服務】
先看看MSDN里是怎么描述WMI的――Windows 管理規范 (WMI) 是可伸縮的系統管理結構,它采用一個統一的、基于標準的、可擴展的面向對象接口。我在剛開始理解WMI的時候,總以為WMI是"Windows管理接口"(Interface),呵呵。
再看什么是WMI服務――提供共同的界面和對象模式以便訪問有關操作系統、設備、應用程序和服務的管理信息。如果此服務被終止,多數基于Windows的軟件將無法正常運行。如果此服務被禁用,任何依賴它的服務將無法啟動。
看上去似乎是個很重要的服務。不過,默認情況下并沒有服務依賴它,反而是它要依賴RPC和EventLog服務。但它又是時常用到的。我把WMI服務設置為手動啟動并停止,使用電腦一段時間,發現WMI服務又啟動了。被需要就啟動,這是服務設置為“手動”的特點。當我知道WMI提供的管理信息有多龐大后,對WMI服務的自啟動就不感到奇怪了。
想直觀了解WMI的復雜,可以使用WMITools.exe[2]這個工具。這是一個工具集。使用其中的WMI Object Browser可以看到很多WMI提供的對象,其復雜程度不亞于注冊表。更重要的是,WMI還提供動態信息,比如當前進程、服務、用戶等。
WMI的邏輯結構是這樣的:
首先是WMI使用者,比如腳本(確切的說是腳本宿主)和其他用到WMI接口的應用程序。由WMI使用者訪問CIM對象管理器WinMgmt(即WMI服務),后者再訪問CIM(公共信息模型Common Information Model)儲存庫。靜態或動態的信息(對象的屬性)就保存在CIM庫中,同時還存有對象的方法。一些操作,比如啟動一個服務,通過執行對象的方法實現。這實際上是通過COM技術調用了各種dll。最后由dll中封裝的API完成請求。
WMI是事件驅動的,操作系統、服務、應用程序、設備驅動程序等都可作為事件源,通過COM接口生成事件通知。WinMgmt捕捉到事件,然后刷新CIM庫中的動態信息。這也是為什么WMI服務依賴EventLog的原因。
說完概念,我們來看看具體如何操作WMI接口。
下面這個例子的代碼來自我寫的腳本RTCS。它是遠程配置telnet服務的腳本。
這里只列出關鍵的部分:
首先是創建對象并連接服務器:
復制代碼 代碼如下:
set objlocator=createobject("wbemscripting.swbemlocator")
set objswbemservices=objlocator.connectserver(ipaddress,"root/default",username,password)
第一句創建一個服務定位對象,然后第二句用該對象的connectserver方法連接服務器。
除了IP地址、用戶名、密碼外,還有一個名字空間參數root/default。
就像注冊表有根鍵一樣,CIM庫也是分類的。用面向對象的術語來描述就叫做“名字空間”(Name Space)。
由于RTCS要處理NTLM認證方式和telnet服務端口,所以需要訪問注冊表。而操作注冊表的對象在root/default。
復制代碼 代碼如下:
set objinstance=objswbemservices.get("stdregprov") '實例化stdregprov對象'
set objmethod=objinstance.methods_("SetDWORDvalue") 'SetDWORDvalue方法本身也是對象'
set objinparam=objmethod.inparameters.spawninstance_() '實例化輸入參數對象'
objinparam.hdefkey=&h80000002 '根目錄是HKLM,代碼80000002(16進制)'
objinparam.ssubkeyname="SOFTWARE/Microsoft/TelnetServer.0" '設置子鍵'
objinparam.svaluename="NTLM" '設置鍵值名'
objinparam.uvalue=ntlm '設置鍵值內容,ntlm是變量,由用戶輸入參數決定'
set objoutparam=objinstance.execmethod_("SetDWORDvalue",objinparam) '執行方法'
然后設置端口
復制代碼 代碼如下:
objinparam.svaluename="TelnetPort"
objinparam.uvalue=port 'port也是由用戶輸入的參數'
set objoutparam=objinstance.execmethod_("SetDWORDvalue",objinparam)
看到這里你是不是覺得有些頭大了呢?又是名字空間,又是類的實例化。我在剛開始學習WMI的時候也覺得很不習慣。記得我的初中老師說過,讀書要先把書讀厚,再把書讀薄。讀厚是因為加入了自己的想法,讀薄是因為把握要領了。
我們現在就把書讀薄。上面的代碼可以改為:
復制代碼 代碼如下:
set olct=createobject("wbemscripting.swbemlocator")
set oreg=olct.connectserver(ip,"root/default",user,pass).get("stdregprov")
HKLM=&h80000002
out=oreg.setdwordvalue(HKLM,"SOFTWARE/Microsoft/TelnetServer.0","NTLM",ntlm)
out=oreg.setdwordvalue(HKLM,"SOFTWARE/Microsoft/TelnetServer.0","TelnetPort",port)
現在是不是簡單多了?
接著是對telnet服務狀態的控制。
復制代碼 代碼如下:
set objswbemservices=objlocator.connectserver(ipaddress,"root/cimv2",username,password)
set colinstances=objswbemservices.execquery("select * from win32_service where name='tlntsvr'")
這次連接的是root/cimv2名字空間。然后采用wql(sql for WMI)搜索tlntsvr服務。熟悉sql語法的一看就知道是在做什么了。這樣得到的是一組Win32_Service實例,雖然where語句決定了該組總是只有一個成員。
為簡單起見,假設只要切換服務狀態。
復制代碼 代碼如下:
for each objinstance in colinstances
if objinstance.started=true then '根據started屬性判斷服務是否已經啟動'
intstatus=objinstance.stopservice() '是,調用stopservice停止服務'
else
intstatus=objinstance.startservice() '否,調用startservice啟動服務'
end if
next
關鍵的代碼就是這些了,其余都是處理輸入輸出和容錯的代碼。
總結一下過程:
1,連接服務器和合適的名字空間。
2,用get或execquery方法獲得所需對象的一個或一組實例。
3,讀寫對象的屬性,調用對象的方法。
那么,如何知道要連接哪個名字空間,獲得哪些對象呢?《WMI技術指南》[3]中分類列出了大量常用的對象。可惜它沒有相應的電子書,你只有到書店里找它了。你也可以用WMITools里WMI CIM Studio這個工具的搜索功能,很容易就能找想要的對象。找到對象后,WMI CIM Studio能列出其屬性和方法,然后到MSDN里找具體的幫助。而應用舉例,除了我寫的7個RS系列腳本,還有參考資料[4]。
需要特別說明的是,在參考資料[4]中,連接服務器和名字空間用的是類似如下的語法:
Codz:
Set objWMIService=GetObject("winmgmts:!/"&strComputer&"/root/cimv2:Win32_Process")
詳細的語法在《WMI技術指南》和MSDN中有介紹,但我們不關心它,因為這種辦法沒有用戶名和密碼參數。 因此,只有在當前用戶在目標系統(含本地)有登陸權限的情況下才能使用。而connectserver如果要本地使用,第一個參數可以是127.0.0.1或者一個點".",第3、4個參數都是空字符串""。
最后,訪問WMI還有一個“特權”的問題。如果你看過ROTS的代碼,你會發現有兩句“奇怪”的語句:
Codz:
objswbemservices.security_.privileges.add 23,true
objswbemservices.security_.privileges.add 18,true
這是在向WMI服務申請權限。18和23都是權限代號。下面列出一些重要的代號:
5 在域中創建帳戶
7 管理審計并查看、保存和清理安全日志
9 加載和卸載設備驅動
10 記錄系統時間
11 改變系統時間
18 在本地關機
22 繞過歷遍檢查
23 允許遠程關機
詳細信息還是請看《WMI技術指南》或MSDN。
所有特權默認是沒有的。我在寫RCAS時,因為忘了申請特權11,結果一直測試失敗,很久才找到原因。
只要有權限連接WMI服務,總能成功申請到需要的特權。這種特權機制,只是為了約束應用程序的行為,加強系統穩定性。有點奇怪的是,訪問注冊表卻不用申請任何特權。真不知道微軟的開發人員是怎么想的,可能是訪問注冊表太普遍了。
【腳本也有GUI】
雖然系統提供了WScript和CScript兩個腳本宿主,分別負責窗口環境和命令行環境下的腳本運行,但實際上窗口環境下用戶與腳本交互不太方便:參數輸入只能建立快捷方式或彈出InputBox對話框,輸出信息后只有在用戶“確定”后才能繼續運行。完全沒有了窗口環境直觀、快捷的優勢。好在有前面提到的InternetExplorer對象,腳本可以提供web風格的GUI。
還是來看個例子,一個清除系統日志的腳本,順便復習一下WMI:
復制代碼 代碼如下:
set ie=wscript.createobject("internetexplorer.application","event_") '創建ie對象'
ie.menubar=0 '取消菜單欄'
ie.addressbar=0 '取消地址欄'
ie.toolbar=0 '取消工具欄'
ie.statusbar=0 '取消狀態欄'
ie.width=400 '寬400'
ie.height=400 '高400'
ie.resizable=0 '不允許用戶改變窗口大小'
ie.navigate "about"&":blank" '打開空白頁面'
ie.left=fix((ie.document.parentwindow.screen.availwidth-ie.width)/2) '水平居中'
ie.top=fix((ie.document.parentwindow.screen.availheight-ie.height)/2) '垂直居中'
ie.visible=1 '窗口可見'
with ie.document '以下調用document.write方法,'
.write "<html><body bgcolor=#dddddd scroll=no>" '寫一段html到ie窗口中。'
.write "<h2 align=center>遠程清除系統日志</h2><br>"
.write "<p>目標IP:<input id=ip type=text size=15>" '也可以用navigate方法直接打開一'
.write "<p>用戶名:<input id=user type=text size=30>" '個html文件,效果是一樣的。'
.write "<p>密碼: <input id=pass type=password size=30>"
.write "<p align=center>類型:" '不僅是input對象,所有DHTML支持'
.write "<input id=app type=checkbox>應用程序 " '的對象及其屬性、方法都可以使用。'
.write "<input id=sys type=checkbox>系統 "
.write "<input id=sec type=checkbox>安全" '訪問這些對象的辦法和網頁中訪問'
.write "<p align=center><br>" '框架內對象是類似的。'
.write "<input id=confirm type=button value=確定> "
.write "<input id=cancel type=button value=取消>"
.write "</body></html>"
end with
dim wmi '顯式定義一個全局變量'
set wnd=ie.document.parentwindow '設置wnd為窗口對象'
set id=ie.document.all '設置id為document中全部對象的集合'
id.confirm.onclick=getref("confirm") '設置點擊"確定"按鈕時的處理函數'
id.cancel.onclick=getref("cancel") '設置點擊"取消"按鈕時的處理函數'
do while true '由于ie對象支持事件,所以相應的,'
wscript.sleep 200 '腳本以無限循環來等待各種事件。'
loop
sub event_onquit 'ie退出事件處理過程'
wscript.quit '當ie退出時,腳本也退出'
end sub
sub cancel '"取消"事件處理過程'
ie.quit '調用ie的quit方法,關閉IE窗口'
end sub '隨后會觸發event_onquit,于是腳本也退出了'
sub confirm '"確定"事件處理過程,這是關鍵'
with id
if .ip.value="" then .ip.value="." '空ip值則默認是對本地操作'
if not (.app.checked or .sys.checked or .sec.checked) then 'app等都是checkbox,通過檢測其checked'
wnd.alert("至少選擇一種日志") '屬性,來判斷是否被選中。'
exit sub
end if
set lct=createobject("wbemscripting.swbemlocator") '創建服務器定位對象'
on error resume next '使腳本宿主忽略非致命錯誤'
set wmi=lct.connectserver(.ip.value,"root/cimv2",.user.value,.pass.value) '連接到root/cimv2名字空間'
if err.number then '自己捕捉錯誤并處理'
wnd.alert("連接WMI服務器失敗") '這里只是簡單的顯示“失敗”'
err.clear
on error goto 0 '仍然讓腳本宿主處理全部錯誤'
exit sub
end if
if .app.checked then clearlog "application" '清除每種選中的日志'
if .sys.checked then clearlog "system"
if .sec.checked then clearlog "security" '注意,在XP下有限制,不能清除安全日志'
wnd.alert("日志已清除")
end with
end sub
sub clearlog(name)
wql="select * from Win32_NTEventLogFile where logfilename='"&name&"'"
set logs=wmi.execquery(wql) '注意,logs的成員不是每條日志,'
for each l in logs '而是指定日志的文件對象。'
if l.cleareventlog() then
wnd.alert("清除日志"&name&"時出錯!")
ie.quit
wscript.quit
end if
next
end sub
總結一下整個過程。首先是創建internetexplorer.application對象。其直接的效果是啟動了一個iexplorer進程,但窗口是不可見的,直到設置了ie.visible=1。然后用document.write方法將html語句寫到ie窗口中。對于復雜的界面,可以將html代碼保存為一個html文件,用ie.navigate(filename)打開。最后是響應窗口中的輸入。這基本上屬于DHTML的知識范疇。
與一般腳本編程最大的不同之處,在于ie是事件驅動的。你所要做的,就是設置好相應的事件處理函數/過程。
在本例中,腳本只關心3個事件:ie退出,"確定"按鈕被點擊,"取消"按鈕被點擊。
注意,例子中只有兩句設置事件處理過程的語句,沒有定義ie退出事件與event_onquit過程關聯。這是因為這里用到一個特性――創建ie對象時的第二個參數"event_"是一個前綴,ie對象的事件處理過程名是該前綴加事件名。所以onquit事件的處理過程默認就是event_onquit。
當點擊"確定"按鈕后,confirm過程被調用。例子中演示了如何訪問ie中的對象,比如ie.document.all.ip.value就是在"目標IP"文本框中的輸入。如果選中"應用程序"這個checkbox,那么ie.document.all.app.checked的值是true,否則是false。想調用alert方法,則用ie.document.parentwindow.alert。其他各種ie內對象的訪問方法完全是類似的。具體的可以看DHTML相關資料。
有了web界面,交互就變得豐富多彩了。大家可以充分發揮創意。
比如,很多GUI工具(比如流光)啟動時,有一個logo頁,顯示版權等信息。我們用ie對象也可以模擬一個出來:
復制代碼 代碼如下:
set ie=wscript.createobject("internetexplorer.application")
ie.fullscreen=1
ie.width=300
ie.height=150
ie.navigate "about"&":blank"
ie.left=fix((ie.document.parentwindow.screen.availwidth-ie.width)/2)
ie.top=fix((ie.document.parentwindow.screen.availheight-ie.height)/2)
ie.document.write "<body bgcolor =skyblue scroll=no><br><br>"&_
"<h2 align=center>這是一個Logo</h2></body>"
ie.visible=1
wscript.sleep 5000
ie.quit
上面這段代碼執行后,將在屏幕中央顯示一個連標題欄和邊框都沒有的ie窗口,持續5秒。
窗口里是藍底黑字的“這是一個Logo”。
腳本GUI化之后,與用戶的交互更直觀。像Nmap那樣有很多參數的工具,在本地使用時,寫一個圖形界面的“接口”就一勞永逸了。輸出的結果也可以用腳本處理,以更適合閱讀的方式顯示,就像流光等工具能生成html掃描報告那樣。
12下一頁閱讀全文
