非常批处理技术团队,批处理技术
Jul
24
有时候抓的包是不太方便看的,比如:
而且如上数据,有可能还是urlencode 的,那么可用批处理处理,然后用 urldecode 命令行工具进行输出:
其中 urldecode.exe 为解码操作的工具,解完之后,就是如此这般了,看的时候就一目了然:
不过此种方式只支持 http 数据包。
000 : 47 45 54 20 2F 69 6D 67 2F 75 62 62 2F 66 6F 6E GET /img/ubb/fon
010 : 74 2D 66 61 6D 2E 67 69 66 20 48 54 54 50 2F 31 t-fam.gif HTTP/1
020 : 2E 31 0D 0A 41 63 63 65 70 74 3A 20 2A 2F 2A 0D .1..Accept: */*.
030 : 0A 52 65 66 65 72 65 72 3A 20 68 74 74 70 3A 2F .Referer: http:/
...........
100 : 6C 25 32 30 57 65 73 74 65 72 6E 25 32 30 42 54 l%20Western%20BT
110 : 25 32 30 2D 25 32 30 25 45 36 25 38 30 25 41 37 %20-%20%E6%80%A7
120 : 25 45 35 25 39 30 25 41 37 25 32 30 25 37 43 25 %E5%90%A7%20%7C%
130 : 32 30 25 45 36 25 39 38 25 41 35 25 45 36 25 39 20%E6%98%A5%E6%9
140 : 41 25 39 36 25 45 38 25 38 41 25 42 31 25 45 35 A%96%E8%8A%B1%E5
150 : 25 42 43 25 38 30 25 32 30 25 45 36 25 38 30 25 %BC%80%20%E6%80%
010 : 74 2D 66 61 6D 2E 67 69 66 20 48 54 54 50 2F 31 t-fam.gif HTTP/1
020 : 2E 31 0D 0A 41 63 63 65 70 74 3A 20 2A 2F 2A 0D .1..Accept: */*.
030 : 0A 52 65 66 65 72 65 72 3A 20 68 74 74 70 3A 2F .Referer: http:/
...........
100 : 6C 25 32 30 57 65 73 74 65 72 6E 25 32 30 42 54 l%20Western%20BT
110 : 25 32 30 2D 25 32 30 25 45 36 25 38 30 25 41 37 %20-%20%E6%80%A7
120 : 25 45 35 25 39 30 25 41 37 25 32 30 25 37 43 25 %E5%90%A7%20%7C%
130 : 32 30 25 45 36 25 39 38 25 41 35 25 45 36 25 39 20%E6%98%A5%E6%9
140 : 41 25 39 36 25 45 38 25 38 41 25 42 31 25 45 35 A%96%E8%8A%B1%E5
150 : 25 42 43 25 38 30 25 32 30 25 45 36 25 38 30 25 %BC%80%20%E6%80%
而且如上数据,有可能还是urlencode 的,那么可用批处理处理,然后用 urldecode 命令行工具进行输出:
@echo off
rem code by woyigui
setlocal enabledelayedexpansion
for /f "tokens=19" %%i in (log.txt) do (
set a=!a!%%i
)
set /p b=!a: =!>>temp.txt<nul
for /f "tokens=*" %%i in ( temp.txt ) do urldecode.exe "%%i" >>results.txt
del /q temp.txt
rem code by woyigui
setlocal enabledelayedexpansion
for /f "tokens=19" %%i in (log.txt) do (
set a=!a!%%i
)
set /p b=!a: =!>>temp.txt<nul
for /f "tokens=*" %%i in ( temp.txt ) do urldecode.exe "%%i" >>results.txt
del /q temp.txt
其中 urldecode.exe 为解码操作的工具,解完之后,就是如此这般了,看的时候就一目了然:
GETt-fam.gif.1..Accept:.Referer:/xxx.xxx.com/index.php?c=tool&a=article&title=[d7db][rmvb/475M]Private
不过此种方式只支持 http 数据包。
Apr
9
有时候在经常来开启或禁用本地代理,特麻烦,比如在用http sniffer的时候,有时要开启抓包,有时又要马上去禁用,往往要对internet属性来改。写个批处理,来动态开启或者禁用就方便多了:
当开启或者禁用时,都只需双击即可,就像一个开关。当然了,有些浏览也可以快速开启和禁用,但是有些程序都是依赖于internet属性的。
@echo off
reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable | findstr 0x0
IF %ERRORLEVEL% LEQ 0 ( reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t reg_dword /d 00000001 /f && echo 代理已开启 && ping /n 2 127.0.0.1>Nul) ELSE reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t reg_dword /d 00000000 /f && echo 代理已关闭 && ping /n 2 127.0.0.1>NUl
reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable | findstr 0x0
IF %ERRORLEVEL% LEQ 0 ( reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t reg_dword /d 00000001 /f && echo 代理已开启 && ping /n 2 127.0.0.1>Nul) ELSE reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t reg_dword /d 00000000 /f && echo 代理已关闭 && ping /n 2 127.0.0.1>NUl
当开启或者禁用时,都只需双击即可,就像一个开关。当然了,有些浏览也可以快速开启和禁用,但是有些程序都是依赖于internet属性的。
Mar
31
获取页面所有链接
javascript:var h="";for ( i = 0; i< document.links.length; i++ ) h+=document.links(i).href+"<br/>";x=window.open("about");x.document.write(h);
获取页面所有框架
javascript:var h="";for ( i = 0; i< document.links.length; i++ ) h+=document.frames(i).name+"<br/>";x=window.open("about");x.document.write(h);
获取页面所有图片地址
javascript:var h="";for ( i = 0; i< document.images.length; i++ ) h+=document.images(i).src+"<br/>"+"<img src=\'"+document.images(i).src+"\'/>"+"<br />";x=window.open("about:blank");x.document.write(h);
获取页面所有脚本地址
javascript:var h="";for ( i = 0; i< document.scripts.length; i++ ) h+=document.scripts(i).src+"<br/>";x=window.open("about");x.document.write(h);
javascript:var h="";for ( i = 0; i< document.links.length; i++ ) h+=document.links(i).href+"<br/>";x=window.open("about");x.document.write(h);
获取页面所有框架
javascript:var h="";for ( i = 0; i< document.links.length; i++ ) h+=document.frames(i).name+"<br/>";x=window.open("about");x.document.write(h);
获取页面所有图片地址
javascript:var h="";for ( i = 0; i< document.images.length; i++ ) h+=document.images(i).src+"<br/>"+"<img src=\'"+document.images(i).src+"\'/>"+"<br />";x=window.open("about:blank");x.document.write(h);
获取页面所有脚本地址
javascript:var h="";for ( i = 0; i< document.scripts.length; i++ ) h+=document.scripts(i).src+"<br/>";x=window.open("about");x.document.write(h);
当然,还有其他一些集合和更多的集合属性,有更大的发展空间。有时候可以做些对页面进行扫描,收集,测试等操作,这些用处就大了。比如:xss、csrf等。。。
Nov
15
来源:非常批处理论坛(http://bbs.verybat.org/thread-14058-1-1.html)
作者:清风09
如果你还不懂进度条,可以先看看这个,有详细注解
极度简单的进度条
在批处理中加入一个进度条。单纯的让它从1%显示到100%
我想这个很多人都会,也许你也会。
外行的看了,也许会很惊奇。或者感觉很高深
但是写代码的你。应该是知道的,它仅仅只具有视觉上的效果而已
说白了,其实他妈的就是骗人的
那么,进度条是不是可以真正的反应出批处理的执行进度呢?
作者:清风09
如果你还不懂进度条,可以先看看这个,有详细注解
极度简单的进度条
在批处理中加入一个进度条。单纯的让它从1%显示到100%
我想这个很多人都会,也许你也会。
外行的看了,也许会很惊奇。或者感觉很高深
但是写代码的你。应该是知道的,它仅仅只具有视觉上的效果而已
说白了,其实他妈的就是骗人的
那么,进度条是不是可以真正的反应出批处理的执行进度呢?
Nov
5
第一、可以登陆主站更新
第二、可以通过软件更新
第三、可以通过Linux里面的一个命令更新。详细看官方。
这一种是通过直接访问地址更新的,可以将其收藏到收藏夹,访问一下即可!用着可爽!
第二、可以通过软件更新
第三、可以通过Linux里面的一个命令更新。详细看官方。
这一种是通过直接访问地址更新的,可以将其收藏到收藏夹,访问一下即可!用着可爽!
http://www.3322.org/dyndns/update?system=dyndns&hostname=woyigui.3322.org
Oct
30
今天非常批处理论坛(http://bbs.verybat.org )不太稳定,在上午时期网通访问速度不错,下午时候笨小孩和我说无法访问,而我这里速度很快,我以为是他DNS问题。今天晚上却一直打不开。马上找空间商访问,空间商给的答复如下:
Sep
14
来源:http://bbs.verybat.org
作者:伤脑筋[v.b.t] 转载请声明。
前言废话^_^
最近咱们非常批处理论坛(bbs.verybat.org)刚换域名和空间,许多老VB们还不知道新域名,人气不如以前了!为了加强人气,我看还得从多发原创东东做起,希望各位喜欢VB的朋友们多多发表一些原创作品!我先带头!
说完废话说正题,这几天看到论坛里有些讨论eventtriggers与eventcreate这两个操控系统事件的帖子,自己到百度搜索了,相关介绍不是很详细,主要是用法没说清楚。于是便有了写这两命令详细用法的帖子!
eventtriggers与eventcreate两命令的系统帮助这里我不列出来,需要的朋友自己看系统帮助,本 文以实际例子来说明他们的用法!
eventtriggers与eventcreate是2K以上的系统才有的命令,其中eventtriggers命令在XP和2003系统里又有略微的不同,这里先不讲,我先写个例子如下
BAT或者手工输入任意选择执行!
Eventtriggers /create /tr "bbs.verybat.org" /l * /eid 1 /tk "cmd /k"
rem 监视任意类型事件ID为1的任意事件消息,如果有这个ID为1的消息则执行cmd /k命令。
eventcreate /t error /id 1 /l application /so "bbs.verybat.org" /d "非常批处理欢迎各位!"
rem 在事件查看器里创建一个类型为”应用程序“,ID为1,来源为bbs.verybat.org的错误消息.
执行完以上几条命令后如果你的系统为2003系统那么在你输入完你当前登陆账号的密码后,就会打开一个新的CMD窗口了。如果你的是XP系统,任何窗口也不会打开,但是请你手动打开你的进程查看器,你会发现进程里多了一个运行用户为"SYSTEM"进程名为CMD.EXE进程,没错这就是我们的监视命令打开的。这就是Eventtriggers命令在XP与2003系统的不同之处:XP以SYSTEM权限执行任务命令,2003则以当前用户权限执行任务命令。
通过上面的例子我们已经知道 eventtriggers与eventcreate基本的使用方法以及eventtriggers命令在2K系统里的区别!现在我们再来理清一些概念的问题!
为什么在执行例1后系统会打开一个新的CMD呢?我们先把eventtriggers是起什么作用的命令来说一下!eventtriggers命令是一个新建事件触发器的命令,也就是当它监视的某个条件成立时,就自动执行某个命令!比如监视到QQ.EXE启动时,就执行一个相应的命令。说到这里大家觉得这个命令居然可以监视系统,太牛了。。。!不幸的是,此命令监视条件不是万能的,它的监视条件只能是事件查看器(eventvwr.msc)里的某几个条件!那就是几种事件日志,有效类型包括:Application、System、Security、DNS server、Log 和 Directory 日志。可以使用通配符 (*)。 事件类型,有效值包括:ERROR、INFORMATION、WARNING、SUCCESSAUDIT 和 FAILUREAUDIT。事件的ID号。事件的来源。大家如果不懂打开系统的事件查看器工具(eventvwr.msc)一看便明白了!
eventtriggers是干嘛的大家了解了,那eventcreate呢?例1中为什么要用此命令?eventcreate命令是一个可以让我们手工在系统查看器里创建自定义日志的工具(eventtriggers是监视事件的)。例1中之所以使用此命令是因为我们使用的eventtriggers命令是监视事件查看器里任意类型事件产生事件ID为1的事件时打开一个CMD(可以用net helpmsg 1来看具体事件ID号的意思),但是系统什么时候会在事件查看器例写一个事件ID号为1的日志呢?我不知道。。。。所以我就手工创建一个事件ID为1的假日志了!这样就满足了eventtriggers监视条件(出现一个ID号为1的事件日志),所以他就执行满足条件时的命令,打开一个CMD窗体。
eventtriggers与eventcreate是什么因该理解的差不多了!下面我们继续距离来实际操控他们!
Eventtriggers /create /tr "bbs.verybat.org" /l APPLICATION /t ERROR /tk "cmd /k"
rem 创建一个任务名为"bbs.verybat.org" 的监视事件在事件查看器里的“应用程序”日志,当其事件类型为错误类型时执行CMD /K命令!
eventcreate /t error /id 3 /l application /so "bbs.verybat.org" /d "非常批处理欢迎各位!"
rem 在事件查看器里的“应用程序”日志里创建一个ID为3的错误类型日志,日志的来源为"bbs.verybat.org" ,日志的描述为"非常批处理欢迎各位!"
rem 因为Eventtriggers 监视的条件为“应用程序”日志里的任意错误日志,我们只是做试验所以用 eventcreate 手工创建促发条件。
上面3个例子基本上把Eventtriggers 与eventcreate的常用用法说了一通了。
注意
Eventtriggers 的任务名必须唯一,所以如果创建监视任务出现任务名重名改一下/TR参数就可以了
Eventtriggers 查看当前任务用Eventtriggers /query ,删除任务Eventtriggers /delete /tid ID号 *号删除全部任务
Eventtriggers 重启后任务会消失
技巧
Eventtriggers 命令由于在XP默认以SYSTEM权限执行触发条件后的命令,所以可以用它来干掉TASKMGR.EXE无法搞定的进程。包括LSASS.EXE和ntsd.exe -c -p 一个样!
Eventtriggers /create /tr "bbs.verybat.org" /l APPLICATION /t ERROR /tk "taskkill -f -im lsass.exe"
eventcreate /t error /id 3 /l application /so "bbs.verybat.org" /d "非常批处理欢迎各位!"
eventcreate可以用来强行塞满日志文件,导致系统无法正确记录事件.
好了本文基本上完了,如果错误请PM告诉我,转载请著名bbs.verybat.org BY 伤脑筋!
作者:伤脑筋[v.b.t] 转载请声明。
前言废话^_^
最近咱们非常批处理论坛(bbs.verybat.org)刚换域名和空间,许多老VB们还不知道新域名,人气不如以前了!为了加强人气,我看还得从多发原创东东做起,希望各位喜欢VB的朋友们多多发表一些原创作品!我先带头!
说完废话说正题,这几天看到论坛里有些讨论eventtriggers与eventcreate这两个操控系统事件的帖子,自己到百度搜索了,相关介绍不是很详细,主要是用法没说清楚。于是便有了写这两命令详细用法的帖子!
eventtriggers与eventcreate两命令的系统帮助这里我不列出来,需要的朋友自己看系统帮助,本 文以实际例子来说明他们的用法!
eventtriggers与eventcreate是2K以上的系统才有的命令,其中eventtriggers命令在XP和2003系统里又有略微的不同,这里先不讲,我先写个例子如下
BAT或者手工输入任意选择执行!
Eventtriggers /create /tr "bbs.verybat.org" /l * /eid 1 /tk "cmd /k"
rem 监视任意类型事件ID为1的任意事件消息,如果有这个ID为1的消息则执行cmd /k命令。
eventcreate /t error /id 1 /l application /so "bbs.verybat.org" /d "非常批处理欢迎各位!"
rem 在事件查看器里创建一个类型为”应用程序“,ID为1,来源为bbs.verybat.org的错误消息.
执行完以上几条命令后如果你的系统为2003系统那么在你输入完你当前登陆账号的密码后,就会打开一个新的CMD窗口了。如果你的是XP系统,任何窗口也不会打开,但是请你手动打开你的进程查看器,你会发现进程里多了一个运行用户为"SYSTEM"进程名为CMD.EXE进程,没错这就是我们的监视命令打开的。这就是Eventtriggers命令在XP与2003系统的不同之处:XP以SYSTEM权限执行任务命令,2003则以当前用户权限执行任务命令。
通过上面的例子我们已经知道 eventtriggers与eventcreate基本的使用方法以及eventtriggers命令在2K系统里的区别!现在我们再来理清一些概念的问题!
为什么在执行例1后系统会打开一个新的CMD呢?我们先把eventtriggers是起什么作用的命令来说一下!eventtriggers命令是一个新建事件触发器的命令,也就是当它监视的某个条件成立时,就自动执行某个命令!比如监视到QQ.EXE启动时,就执行一个相应的命令。说到这里大家觉得这个命令居然可以监视系统,太牛了。。。!不幸的是,此命令监视条件不是万能的,它的监视条件只能是事件查看器(eventvwr.msc)里的某几个条件!那就是几种事件日志,有效类型包括:Application、System、Security、DNS server、Log 和 Directory 日志。可以使用通配符 (*)。 事件类型,有效值包括:ERROR、INFORMATION、WARNING、SUCCESSAUDIT 和 FAILUREAUDIT。事件的ID号。事件的来源。大家如果不懂打开系统的事件查看器工具(eventvwr.msc)一看便明白了!
eventtriggers是干嘛的大家了解了,那eventcreate呢?例1中为什么要用此命令?eventcreate命令是一个可以让我们手工在系统查看器里创建自定义日志的工具(eventtriggers是监视事件的)。例1中之所以使用此命令是因为我们使用的eventtriggers命令是监视事件查看器里任意类型事件产生事件ID为1的事件时打开一个CMD(可以用net helpmsg 1来看具体事件ID号的意思),但是系统什么时候会在事件查看器例写一个事件ID号为1的日志呢?我不知道。。。。所以我就手工创建一个事件ID为1的假日志了!这样就满足了eventtriggers监视条件(出现一个ID号为1的事件日志),所以他就执行满足条件时的命令,打开一个CMD窗体。
eventtriggers与eventcreate是什么因该理解的差不多了!下面我们继续距离来实际操控他们!
Eventtriggers /create /tr "bbs.verybat.org" /l APPLICATION /so "bbs.verybat.org" /tk "cmd /k"
rem 创建一个任务名为"bbs.verybat.org" 的监视事件在事件查看器里的“应用程序”日志,当其出现ID 号为2的日志时执行CMD /K命令!
eventcreate /t error /id 2 /l application /so "bbs.verybat.org" /d "非常批处理欢迎各位!"
rem 在事件查看器里的“应用程序”日志里创建一个ID为2的错误类型日志,日志的来源为"bbs.verybat.org" ,日志的描述为"非常批处理欢迎各位!"
rem 因为Eventtriggers 监视的条件为“应用程序”日志里来源为"bbs.verybat.org" 的日志,我们只是做试验所以用 eventcreate 手工创建促发条件。
rem 创建一个任务名为"bbs.verybat.org" 的监视事件在事件查看器里的“应用程序”日志,当其出现ID 号为2的日志时执行CMD /K命令!
eventcreate /t error /id 2 /l application /so "bbs.verybat.org" /d "非常批处理欢迎各位!"
rem 在事件查看器里的“应用程序”日志里创建一个ID为2的错误类型日志,日志的来源为"bbs.verybat.org" ,日志的描述为"非常批处理欢迎各位!"
rem 因为Eventtriggers 监视的条件为“应用程序”日志里来源为"bbs.verybat.org" 的日志,我们只是做试验所以用 eventcreate 手工创建促发条件。
Eventtriggers /create /tr "bbs.verybat.org" /l APPLICATION /t ERROR /tk "cmd /k"
rem 创建一个任务名为"bbs.verybat.org" 的监视事件在事件查看器里的“应用程序”日志,当其事件类型为错误类型时执行CMD /K命令!
eventcreate /t error /id 3 /l application /so "bbs.verybat.org" /d "非常批处理欢迎各位!"
rem 在事件查看器里的“应用程序”日志里创建一个ID为3的错误类型日志,日志的来源为"bbs.verybat.org" ,日志的描述为"非常批处理欢迎各位!"
rem 因为Eventtriggers 监视的条件为“应用程序”日志里的任意错误日志,我们只是做试验所以用 eventcreate 手工创建促发条件。
上面3个例子基本上把Eventtriggers 与eventcreate的常用用法说了一通了。
注意
Eventtriggers 的任务名必须唯一,所以如果创建监视任务出现任务名重名改一下/TR参数就可以了
Eventtriggers 查看当前任务用Eventtriggers /query ,删除任务Eventtriggers /delete /tid ID号 *号删除全部任务
Eventtriggers 重启后任务会消失
技巧
Eventtriggers 命令由于在XP默认以SYSTEM权限执行触发条件后的命令,所以可以用它来干掉TASKMGR.EXE无法搞定的进程。包括LSASS.EXE和ntsd.exe -c -p 一个样!
Eventtriggers /create /tr "bbs.verybat.org" /l APPLICATION /t ERROR /tk "taskkill -f -im lsass.exe"
eventcreate /t error /id 3 /l application /so "bbs.verybat.org" /d "非常批处理欢迎各位!"
eventcreate可以用来强行塞满日志文件,导致系统无法正确记录事件.
eventcreate /t error /id 1 /l application /so "bbs.verybat.org" /d "非常批处理欢迎各位!"
%0
%0
好了本文基本上完了,如果错误请PM告诉我,转载请著名bbs.verybat.org BY 伤脑筋!
